Bulletin de sécurité Microsoft MS15-107 - Important

  • Article

Mise à jour de sécurité cumulative pour Microsoft Edge (3096448)

Date de publication : 13 octobre 2015 | Date de mise à jour : 16 octobre 2015

Version : 1.1

Synthèse

Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Edge. La plus grave de ces vulnérabilités pourrait permettre la divulgation d'informations si un utilisateur affichait une page web spécialement conçue à l'aide de Microsoft Edge. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur actuel. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d'administrateur.

Cette mise à jour de sécurité est de niveau « Important » pour Microsoft Edge sur Windows 10. Pour plus d'informations, consultez la section Logiciels concernés.

Cette mise à jour de sécurité corrige les vulnérabilités en modifiant la façon dont Microsoft Edge traite les objets en mémoire.

Pour plus d'informations sur les vulnérabilités, consultez la section Informations par vulnérabilité.

Pour plus d'informations sur cette mise à jour, voir l'Article 3096448 de la Base de connaissances Microsoft.

Logiciels concernés

Les versions ou éditions répertoriées ci-dessous sont concernées. Les versions ou éditions non répertoriées ont atteint la fin de leur cycle de vie ou ne sont pas concernées. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Logiciels concernés 

**Système d'exploitation** **Composant** **Impact de sécurité maximal** **Indice de gravité cumulée** **Mises à jour remplacées**
**Microsoft Edge**
[Windows 10 pour systèmes 32 bits](https://support.microsoft.com/fr-fr/kb/3097617)[1] (3097617) Microsoft Edge Divulgation d'informations Important [3081455](https://support.microsoft.com/fr-fr/kb/3081455)
[Windows 10 pour systèmes x64](https://support.microsoft.com/fr-fr/kb/3097617)[1] (3097617) Microsoft Edge Divulgation d'informations Important [3081455](https://support.microsoft.com/fr-fr/kb/3081455)
[1]La mise à jour de Windows 10 est cumulative. Outre des mises à jour non liées à la sécurité, elle contient également l'ensemble des correctifs de sécurité pour toutes les vulnérabilités concernant Windows 10 fournis dans la mise à jour de sécurité de ce mois. Consultez l'[Article 3097617 de la Base de connaissances Microsoft](https://support.microsoft.com/fr-fr/kb/3097617) pour plus d'informations et pour obtenir les liens de téléchargement.

Remarque Windows Technical Preview 3 est concerné. Les clients exécutant ce système d'exploitation sont invités à appliquer la mise à jour, qui est disponible via Windows Update

Indices de gravité et identificateurs de vulnérabilité

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité d'octobre.

Le cas échéant, dans le tableau Indices de gravité et impact, les valeurs « Critique », « Important » et « Modéré » correspondent aux indices de gravité. Pour plus d'informations, consultez l'article consacré au système d'indices de gravité pour les Bulletins de sécurité. Reportez-vous à la légende suivante afin de connaître les abréviations utilisées dans le tableau pour indiquer l'impact maximal :

Abréviation Impact maximal
RCE Exécution de code à distance
EoP Élévation de privilèges
ID Divulgation d'informations
SFB Contourner la fonctionnalité de sécurité
 

**Indices de gravité par vulnérabilité et impact**
**Numéro CVE** **Titre de la vulnérabilité** **Microsoft Edge**
[CVE-2015-6057](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-6057) Vulnérabilité liée à la divulgation d'informations sur Microsoft Edge Clients Windows : **Important/ID**

Serveurs Windows :
Faible/ID
[CVE-2015-6058](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-6058) Contournement du filtre XSS de Microsoft Edge Clients Windows : **Important/SFB** Serveurs Windows : **Faible/SFB**

Forum aux questions concernant les mises à jour

Cette mise à jour comporte-t-elle d'autres modifications de sécurité affectant les fonctionnalités?   Outre les changements répertoriés relatifs aux vulnérabilités décrites dans ce Bulletin, cette mise à jour inclut des mises à jour de défense en profondeur afin de contribuer à l'amélioration des fonctionnalités liées à la sécurité.

Informations par vulnérabilité

Vulnérabilité de divulgation d'informations liées à Microsoft Edge – CVE-2015-6057

Il existe une vulnérabilité de divulgation d'informations lorsque Microsoft Edge divulgue de manière incorrecte le contenu de sa mémoire, ce qui pourrait fournir à un attaquant des informations permettant de compromettre davantage l'ordinateur de l'utilisateur.

Cette mise à jour corrige la vulnérabilité en modifiant la façon dont certaines fonctions traitent les objets en mémoire. Microsoft a été informée de ce contournement par une divulgation de contournement coordonnée. Lors de la publication initiale de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de ce contournement dans le but d'attaquer des clients.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Contournement du filtre XSS Microsoft Edge – CVE-2015-6058

Il existe un contournement de filtre script inter-sites (XSS) dans la façon dont Microsoft Edge désactive un attribut HTML dans des données de réponse HTTP pourtant filtrées correctement. Ce contournement pourrait permettre à des scripts initialement désactivés de s'exécuter dans le mauvais contexte de sécurité, induisant une divulgation d'informations.

Un attaquant peut publier sur un site web spécialement conçu du contenu visant à exploiter ce contournement. Ensuite, l'attaquant devrait convaincre l'utilisateur d'afficher le contenu sur le site web concerné. Si l'utilisateur parcourt alors le site web, le filtre XSS désactive des attributs HTML dans le contenu spécialement conçu, créant une condition qui pourrait permettre au script malveillant de s'exécuter dans le mauvais contexte de sécurité, induisant une divulgation d'informations.

Un attaquant qui parviendrait à exploiter ce contournement pourrait forcer l'exécution d'un script sur le système d'un autre utilisateur sous couvert d'un site web tiers. Un tel script s'exécuterait dans le navigateur lors de la visite du site web tiers et pourrait exécuter toute action sur le système de l'utilisateur où le site web tiers a été autorisé. Ce contournement ne pourrait être exploitée que si l'utilisateur cliquait sur un lien hypertexte, dans un message électronique au format HTML ou si l'utilisateur visitait un site web de l'attaquant ou un site web dont le contenu est sous le contrôle de l'attaquant. Les systèmes sur lesquels Microsoft Edge est fréquemment utilisé (comme les postes de travail et les serveurs Terminal Server) sont les plus exposés à ce contournement.

Cette mise à jour corrige le contournement en empêchant le filtre XSS dans Microsoft Edge de désactiver de manière inappropriée des attributs HTML. Microsoft a été informée de ce contournement par une divulgation de contournement coordonnée. Lors de la publication initiale de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de ce contournement dans le but d'attaquer des clients.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Déploiement des mises à jour de sécurité

Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.

Remerciements

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations.

Dédit de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (13 octobre 2015) : Bulletin publié.
  • V1.1 (16 octobre 2015) : Bulletin mis à jour pour annoncer une modification de la logique de détection dans la mise à jour cumulative 3097617 pour Windows 10. Il ne s'agit que d'une modification de la détection. Nos clients ayant déjà mis à jour leur système n'ont pas besoin d'entreprendre de nouvelle action.

Page générée le 16/10/2015 14:48:00-07:00.