Bulletin de sécurité Microsoft MS16-022 - Critique

  • Article

Mise à jour de sécurité pour Adobe Flash Player (3135782)

Date de publication : 9 février 2016 | Mise à jour : 12 février 2016

Version : 1.1

Résumé

Cette mise à jour de sécurité résout les vulnérabilités dans Adobe Flash Player lorsqu’elle est installée sur toutes les éditions prises en charge de Windows Server 2012, Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows 10 et Windows 10 version 1511. Pour plus d’informations, consultez la section Logiciels affectés . La mise à jour corrige les vulnérabilités dans Adobe Flash Player en mettant à jour les bibliothèques Adobe Flash affectées contenues dans Internet Explorer 10, Internet Explorer 11 et Microsoft Edge.

Pour plus d’informations sur cette mise à jour, consultez l’article 3135782 de la Base de connaissances Microsoft.

Informations sur la vulnérabilité

Cette mise à jour de sécurité corrige les vulnérabilités suivantes, qui sont décrites dans le Bulletin de sécurité Adobe APSB16-04 :

CVE-2016-0964, CVE-2016-0965, CVE-2016-0966, CVE-2016-0967, CVE-2016-0968, CVE-2016-0969, CVE-2016-0970, CVE-2016-0971, CVE-2016-0972, CVE-2016-0973, CVE-2016-0974, CVE-2016-0975, CVE-2016-0976, CVE-2016-0977, CVE-2016-0978, CVE-2016-0979, CVE-2016-0980, CVE-2016-0981, CVE-2016-0982, CVE-2016-0983, CVE-2016-0984, CVE-2016-0985

Logiciel affecté

Les versions logicielles ou éditions suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées ont dépassé leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition de logiciel, consultez Support Microsoft Cycle de vie.

Système d’exploitation Composant Gravité et impact agrégés Mises à jour remplacé*
Windows 8.1
Windows 8.1 pour les systèmes 32 bits Adobe Flash Player (3135782) Critique Exécution de code à distance 3133431 dans SA2755801
Windows 8.1 pour les systèmes x64 Adobe Flash Player (3135782) Critique Exécution de code à distance 3133431 dans SA2755801
Windows Server 2012 et Windows Server 2012 R2
Windows Server 2012 Adobe Flash Player (3135782) Modérée Exécution de code à distance 3133431 dans SA2755801
Windows Server 2012 R2 Adobe Flash Player (3135782) Modérée Exécution de code à distance 3133431 dans SA2755801
Windows RT 8.1
Windows RT 8.1[1] Adobe Flash Player (3135782) Critique Exécution de code à distance 3133431 dans SA2755801
Windows 10
Windows 10 pour les systèmes 32 bits[2] Adobe Flash Player (3135782) Critique Exécution de code à distance 3133431 dans SA2755801
Windows 10 pour les systèmes x64[2] Adobe Flash Player (3135782) Critique Exécution de code à distance 3133431 dans SA2755801
Windows 10 version 1511 pour les systèmes 32 bits[2] Adobe Flash Player (3135782) Critique Exécution de code à distance 3133431 dans SA2755801
Windows 10 version 1511 pour les systèmes x64[2] Adobe Flash Player (3135782) Critique Exécution de code à distance 3133431 dans SA2755801

[1]Cette mise à jour est disponible uniquement via Windows Update.

[2]Les mises à jour d’Adobe FlashPlayer pour Windows 10 mises à jour sont disponibles via Windows Update ou via le catalogue Microsoft Update.

Notez Windows Server Technical Preview 4 est affecté ; l’indice de gravité agrégé est Critique et l’impact est Modéré, exécution de code à distance. Les clients exécutant ce système d’exploitation sont encouragés à appliquer la mise à jour, qui est disponible via Windows Update.

*La colonne Mises à jour Remplacé affiche uniquement la dernière mise à jour dans une chaîne de mises à jour remplacées. Pour obtenir la liste complète des mises à jour remplacées, accédez au catalogue Microsoft Update, recherchez le numéro de la base de connaissances des mises à jour, puis affichez les détails des mises à jour (les informations sur les mises à jour remplacées sont fournies sous l’onglet Détails du package).

Forum Aux Questions (FAQ)

Comment un attaquant a-t-il pu exploiter ces vulnérabilités ?
Dans un scénario d’attaque web où l’utilisateur utilise Internet Explorer pour le Bureau, un attaquant peut héberger un site web spécialement conçu pour exploiter l’une de ces vulnérabilités via Internet Explorer, puis convaincre un utilisateur de consulter le site web. Un attaquant peut également incorporer un contrôle ActiveX marqué « sécurisé pour l’initialisation » dans une application ou un document Microsoft Office qui héberge le moteur de rendu d’Internet Explorer. L’attaquant pourrait également tirer parti des sites web compromis et des sites web qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur. Ces sites web peuvent contenir du contenu spécialement conçu qui pourrait exploiter l’une de ces vulnérabilités. Dans tous les cas, toutefois, un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant doit convaincre les utilisateurs d’agir, généralement en cliquant sur un lien dans un e-mail ou dans un message instantané qui dirige les utilisateurs vers le site web de l’attaquant, ou en ouvrant une pièce jointe envoyée par e-mail.

Dans un scénario d’attaque web où l’utilisateur utilise des Explorer Internet dans l’interface utilisateur de style Windows 8, un attaquant doit d’abord compromettre un site web déjà répertorié dans la liste Affichage de compatibilité (CV). Un attaquant peut alors héberger un site web qui contient du contenu Flash spécialement conçu pour exploiter l’une de ces vulnérabilités via Internet Explorer, puis convaincre un utilisateur de consulter le site web. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant doit convaincre les utilisateurs d’agir, généralement en cliquant sur un lien dans un e-mail ou dans un message instantané qui dirige les utilisateurs vers le site web de l’attaquant, ou en ouvrant une pièce jointe envoyée par e-mail. Pour plus d’informations sur les Explorer Internet et la liste des cv, consultez l’article MSDN, Conseils du développeur pour les sites web avec du contenu pour Adobe Flash Player dans Windows 8.

Facteurs atténuants

L’atténuation fait référence à un paramètre, à une configuration courante ou à une bonne pratique générale, existant dans un état par défaut, qui pourrait réduire la gravité de l’exploitation d’une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles dans votre situation :

  • Dans un scénario d’attaque web où l’utilisateur utilise Internet Explorer pour le Bureau, un attaquant peut héberger un site web contenant une page web utilisée pour exploiter l’une de ces vulnérabilités. En outre, les sites web compromis et les sites web qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur peuvent contenir du contenu spécialement conçu qui pourrait exploiter l’une de ces vulnérabilités. Dans tous les cas, toutefois, un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter ces sites web. Au lieu de cela, un attaquant doit convaincre les utilisateurs de visiter le site web, généralement en les invitant à cliquer sur un lien dans un e-mail ou un message instantané qui amène les utilisateurs vers le site web de l’attaquant.
  • Les Explorer Internet dans l’interface utilisateur de style Windows 8 liront uniquement le contenu Flash des sites répertoriés dans la liste Affichage de compatibilité (CV). Cette restriction nécessite qu’un attaquant compromette d’abord un site web déjà répertorié dans la liste des CV. Un attaquant pourrait alors héberger du contenu Flash spécialement conçu pour exploiter l’une de ces vulnérabilités via Internet Explorer, puis convaincre un utilisateur d’afficher le site web. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant doit convaincre les utilisateurs d’agir, généralement en cliquant sur un lien dans un e-mail ou dans un message instantané qui dirige les utilisateurs vers le site web de l’attaquant, ou en ouvrant une pièce jointe envoyée par e-mail.
  • Par défaut, toutes les versions prises en charge de Microsoft Outlook et de Windows Live Mail ouvrent des messages électroniques HTML dans la zone Sites restreints. La zone Sites restreints, qui désactive les contrôles De script et ActiveX, permet de réduire le risque qu’un attaquant puisse utiliser l’une de ces vulnérabilités pour exécuter du code malveillant. Si un utilisateur clique sur un lien dans un e-mail, l’utilisateur peut toujours être vulnérable à l’exploitation de l’une de ces vulnérabilités via le scénario d’attaque web.
  • Par défaut, Internet Explorer sur Windows Server 2012 et Windows Server 2012 R2 s’exécute dans un mode restreint appelé Configuration de la sécurité renforcée. Ce mode peut aider à réduire la probabilité d’exploitation par ces vulnérabilités dans Adobe Flash Player dans internet Explorer.

Solutions de contournement

La solution de contournement fait référence à un changement de paramètre ou de configuration qui aiderait à bloquer les vecteurs d’attaque connus avant d’appliquer la mise à jour.

  • Empêcher l’exécution d’Adobe Flash Player

    Vous pouvez désactiver les tentatives d’instanciation d’Adobe Flash Player dans Internet Explorer et d’autres applications qui respectent la fonctionnalité kill bit, comme Office 2007 et Office 2010, en définissant le bit d’arrêt pour le contrôle dans le Registre.

    Avertissement Si vous utilisez l’Éditeur du Registre de manière incorrecte, vous risquez de provoquer des problèmes graves qui peuvent vous obliger à réinstaller votre système d’exploitation. Microsoft ne peut pas garantir la résolution des problèmes résultant de l'utilisation incorrecte de l'Éditeur du Registre. Son utilisation est sous votre entière responsabilité.

    Pour définir le bit d’arrêt pour le contrôle dans le Registre, effectuez les étapes suivantes :

    1. Collez ce qui suit dans un fichier texte et enregistrez-le avec l’extension de fichier .reg.

          Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
    "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
    "Compatibility Flags"=dword:00000400

    2. Double-cliquez sur le fichier .reg pour l’appliquer à un système individuel. Vous pouvez également l’appliquer à plusieurs domaines à l’aide de stratégie de groupe. Pour plus d’informations sur stratégie de groupe, consultez l’article TechNet, stratégie de groupe collection.

    Note Vous devez redémarrer Internet Explorer pour que vos modifications prennent effet.

    Impact de la solution de contournement. Il n’y a aucun impact tant que l’objet n’est pas destiné à être utilisé dans Internet Explorer.

    Comment annuler la solution de contournement. Supprimez les clés de Registre ajoutées lors de l’implémentation de cette solution de contournement.

  • Empêcher Adobe Flash Player de s’exécuter sur Internet Explorer via stratégie de groupe

    Note Le composant logiciel enfichable MMC stratégie de groupe peut être utilisé pour définir la stratégie d’une machine, d’une unité organisationnelle ou d’un domaine entier. Pour plus d’informations sur stratégie de groupe, visitez les sites Web Microsoft suivants :

    Vue d’ensemble de la stratégie de groupe

    Qu’est-ce que stratégie de groupe Éditeur d’objets ?

    Principaux outils et paramètres stratégie de groupe

    Pour désactiver Adobe Flash Player dans Internet Explorer via stratégie de groupe, procédez comme suit :

    Note Cette solution de contournement n’empêche pas Flash d’être appelé à partir d’autres applications, telles que Microsoft Office 2007 ou Microsoft Office 2010.

    1. Ouvrez la console de gestion stratégie de groupe et configurez la console pour qu’elle fonctionne avec l’objet stratégie de groupe approprié, tel que l’ordinateur local, l’unité d’organisation ou l’objet de stratégie de groupe de domaine.
    2. Accédez au nœud suivant : Modèles d’administration - Composants Windows - Internet Explorer - Fonctionnalités de sécurité - Gestion des modules complémentaires
    3. Double-cliquez sur Désactiver Adobe Flash dans Internet Explorer et empêcher les applications d’utiliser la technologie Internet Explorer pour instancier des objets Flash.
    4. Définissez le paramètre sur Activé.
    5. Cliquez sur Appliquer, puis sur OK pour revenir à la console de gestion stratégie de groupe.
    6. Actualisez stratégie de groupe sur tous les systèmes ou attendez le prochain intervalle d’actualisation planifié stratégie de groupe pour que les paramètres prennent effet.

  • Empêcher Adobe Flash Player de s’exécuter dans Office 2010 sur les systèmes affectés

    Note Cette solution de contournement n’empêche pas Adobe Flash Player de s’exécuter dans Internet Explorer.

    Avertissement Si vous utilisez l’Éditeur du Registre de manière incorrecte, vous risquez de provoquer des problèmes graves qui peuvent vous obliger à réinstaller votre système d’exploitation. Microsoft ne peut pas garantir la résolution des problèmes résultant de l'utilisation incorrecte de l'Éditeur du Registre. Son utilisation est sous votre entière responsabilité.

    Pour obtenir les étapes détaillées que vous pouvez utiliser pour empêcher l’exécution d’un contrôle dans Internet Explorer, consultez l’Article de la Base de connaissances Microsoft 240797. Suivez les étapes décrites dans l’article pour créer une valeur d’indicateurs de compatibilité dans le Registre afin d’empêcher l’instanciation d’un objet COM dans Internet Explorer.

    Pour désactiver Adobe Flash Player dans Office 2010 uniquement, définissez le bit d’arrêt du contrôle ActiveX pour Adobe Flash Player dans le Registre en procédant comme suit :

    1. Créez un fichier texte nommé Disable_Flash.reg avec le contenu suivant :

          Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM\Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
    "Compatibility Flags"=dword:00000400

    2. Double-cliquez sur le fichier .reg pour l’appliquer à un système individuel.

      Note Vous devez redémarrer Internet Explorer pour que vos modifications prennent effet.

      Vous pouvez également l’appliquer à plusieurs domaines à l’aide de stratégie de groupe. Pour plus d’informations sur stratégie de groupe, consultez l’article TechNet, stratégie de groupe collection.

  • Empêcher l’exécution de contrôles ActiveX dans Office 2007 et Office 2010

    Pour désactiver tous les contrôles ActiveX dans Microsoft Office 2007 et Microsoft Office 2010, y compris Adobe Flash Player dans Internet Explorer, procédez comme suit :

    1. Cliquez sur Fichier, sur Options, sur Centre de gestion de la confidentialité, puis sur Paramètres du Centre de gestion de la confidentialité.
    2. Cliquez sur Paramètres ActiveX dans le volet gauche, puis sélectionnez Désactiver tous les contrôles sans notifications.
    3. Cliquez sur OK pour enregistrer vos paramètres.

    Impact de la solution de contournement. Les documents Office qui utilisent des contrôles ActiveX incorporés peuvent ne pas s’afficher comme prévu.

    Comment annuler la solution de contournement.

    Pour réactiver les contrôles ActiveX dans Microsoft Office 2007 et Microsoft Office 2010, procédez comme suit :

    1. Cliquez sur Fichier, sur Options, sur Centre de gestion de la confidentialité, puis sur Paramètres du Centre de gestion de la confidentialité.
    2. Cliquez sur Paramètres ActiveX dans le volet gauche, puis désélectionnez Désactiver tous les contrôles sans notifications.
    3. Cliquez sur OK pour enregistrer vos paramètres.

 

  • Définissez les paramètres de zone de sécurité Internet et Intranet local sur « Élevé » pour bloquer les contrôles ActiveX et les scripts actifs dans ces zones

    Vous pouvez vous protéger contre l’exploitation de ces vulnérabilités en modifiant vos paramètres de la zone de sécurité Internet afin de bloquer les contrôles ActiveX et active scripting. Pour ce faire, définissez la sécurité de votre navigateur sur Élevée.

    Pour augmenter le niveau de sécurité de navigation dans Internet Explorer, effectuez les étapes suivantes :

    1. Dans le menu Outils Internet Explorer, cliquez sur Options Internet.
    2. Dans la boîte de dialogue Options Internet , cliquez sur l’onglet Sécurité , puis sur Internet.
    3. Sous Niveau de sécurité pour cette zone, déplacez le curseur sur Haut. Cela définit le niveau de sécurité pour tous les sites web que vous visitez dans High.
    4. Cliquez sur Intranet local.
    5. Sous Niveau de sécurité pour cette zone, déplacez le curseur sur Haut. Cela définit le niveau de sécurité pour tous les sites web que vous visitez dans High.
    6. Cliquez sur OK pour accepter les modifications et revenir à Internet Explorer.

    Note Si aucun curseur n’est visible, cliquez sur Niveau par défaut, puis déplacez le curseur sur Élevé.

    Note La définition du niveau sur Élevé peut entraîner un fonctionnement incorrect de certains sites web. Si vous avez des difficultés à utiliser un site web après avoir modifié ce paramètre et que vous êtes sûr que le site est sûr à utiliser, vous pouvez ajouter ce site à votre liste de sites approuvés. Cela permet au site de fonctionner correctement même si le paramètre de sécurité est défini sur Élevé.

    Impact de la solution de contournement. Le blocage des contrôles ActiveX et des scripts actifs présente des effets secondaires. De nombreux sites web qui se trouvent sur Internet ou sur un intranet utilisent ActiveX ou Active Scripting pour fournir des fonctionnalités supplémentaires. Par exemple, un site e-commerce en ligne ou un site bancaire peut utiliser des contrôles ActiveX pour fournir des menus, des formulaires de commande ou même des relevés de compte. Le blocage des contrôles ActiveX ou des scripts actifs est un paramètre global qui affecte tous les sites Internet et intranet. Si vous ne souhaitez pas bloquer les contrôles ActiveX ou les scripts actifs pour ces sites, suivez les étapes décrites dans « Ajouter des sites auxquels vous faites confiance à la zone Sites de confiance Internet Explorer ».

  • Configurer Internet Explorer pour qu’il vous invite avant d’exécuter Active Scripting ou pour désactiver active scripting dans la zone de sécurité Internet et intranet local

    Vous pouvez vous protéger contre l’exploitation de ces vulnérabilités en modifiant vos paramètres pour qu’ils vous invitent avant d’exécuter Active Scripting ou pour désactiver active scripting dans la zone de sécurité Internet et intranet local. Pour ce faire, procédez comme suit :

    1. Dans Internet Explorer, cliquez sur Options Internet dans le menu Outils.
    2. Cliquez sur l’onglet Security .
    3. Cliquez sur Internet, puis sur Niveau personnalisé.
    4. Sous Paramètres, dans la section Scripts , sous Script actif, cliquez sur Invite ou Désactiver, puis sur OK.
    5. Cliquez sur Intranet local, puis sur Niveau personnalisé.
    6. Sous Paramètres, dans la section Scripts , sous Script actif, cliquez sur Invite ou Désactiver, puis sur OK.
    7. Cliquez deux fois sur OK pour revenir à Internet Explorer.

    Note La désactivation du script actif dans les zones de sécurité Internet et Intranet local peut entraîner un fonctionnement incorrect de certains sites web. Si vous avez des difficultés à utiliser un site web après avoir modifié ce paramètre et que vous êtes sûr que le site est sûr à utiliser, vous pouvez ajouter ce site à votre liste de sites approuvés. Cela permettra au site de fonctionner correctement.

    Impact de la solution de contournement. Il existe des effets secondaires à l’invite avant d’exécuter Active Scripting. De nombreux sites web qui se trouvent sur Internet ou sur un intranet utilisent Active Scripting pour fournir des fonctionnalités supplémentaires. Par exemple, un site e-commerce en ligne ou un site bancaire peut utiliser Active Scripting pour fournir des menus, des formulaires de commande ou même des relevés de compte. L’invite avant d’exécuter Active Scripting est un paramètre global qui affecte tous les sites Internet et intranet. Vous serez fréquemment invité lorsque vous activez cette solution de contournement. Pour chaque invite, si vous pensez faire confiance au site que vous visitez, cliquez sur Oui pour exécuter Active Scripting. Si vous ne souhaitez pas être invité à entrer tous ces sites, suivez les étapes décrites dans « Ajouter des sites approuvés à la zone Internet Explorer Sites de confiance ».

  • Ajouter des sites approuvés à la zone Internet Explorer Sites de confiance

    Après avoir défini Internet Explorer pour exiger une invite avant d’exécuter des contrôles ActiveX et des scripts actifs dans la zone Internet et dans la zone Intranet local, vous pouvez ajouter des sites que vous faites confiance à la zone Internet Explorer Sites de confiance. Cela vous permettra de continuer à utiliser des sites web de confiance exactement comme vous le faites aujourd’hui, tout en vous protégeant contre cette attaque contre des sites non approuvés. Nous vous recommandons d’ajouter uniquement les sites que vous faites confiance à la zone Sites de confiance.

    Pour ce faire, procédez comme suit :

    1. Dans Internet Explorer, cliquez sur Outils, sur Options Internet, puis sur l’onglet Sécurité.
    2. Dans la zone Sélectionner une zone de contenu web pour spécifier ses paramètres de sécurité actuels , cliquez sur Sites de confiance, puis sur Sites.
    3. Si vous souhaitez ajouter des sites qui ne nécessitent pas de canal chiffré, cliquez pour effacer l’option Exiger la vérification du serveur (https:) pour tous les sites de cette zone case activée zone.
    4. Dans la zone Ajouter ce site web à la zone , tapez l’URL d’un site de confiance, puis cliquez sur Ajouter.
    5. Répétez ces étapes pour chaque site que vous souhaitez ajouter à la zone.
    6. Cliquez deux fois sur OK pour accepter les modifications et revenir à Internet Explorer.

    Note Ajoutez les sites auxquels vous faites confiance pour ne pas effectuer d’action malveillante sur votre système. Deux en particulier que vous pouvez ajouter sont *.windowsupdate.microsoft.com et *.update.microsoft.com. Il s’agit des sites qui hébergeront la mise à jour, et il faut un contrôle ActiveX pour installer la mise à jour.

Déploiement des mises à jour de sécurité

Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le Résumé exécutif.

Remerciements

Microsoft reconnaît les efforts des membres de la communauté de la sécurité qui nous aident à protéger les clients par le biais de la divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez Accusés de réception.

Clause d'exclusion de responsabilité

Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie d’aucune sorte. Microsoft rejette toutes les garanties, expresses ou implicites, y compris les garanties de qualité marchande et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne peuvent être tenus responsables de quelque dommage que ce soit, y compris les dommages directs, indirects, accessoires, consécutifs, la perte de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas s’appliquer.

Révisions

  • V1.0 (9 février 2016) : Bulletin publié.
  • V1.1 (12 février 2016) : Bulletin révisé pour ajouter des liens pour mettre à jour 3135782 dans le Centre de téléchargement pour Windows 8.1 pour les systèmes 32 bits, Windows 8.1 pour les systèmes x64, Windows Server 2012 et Windows Server 2012 R2. Il s’agit d’une modification d’information uniquement. Les clients qui ont déjà installé la mise à jour n’ont pas besoin d’effectuer d’autres actions.

Page générée 2016-02-15 18:55-08:00.