Bulletin de sécurité
Bulletin de sécurité Microsoft MS07-054 - Important
La vulnérabilité dans MSN Messenger et Windows Live Messenger pourrait autoriser l’exécution de code à distance (942099)
Publication : 11 septembre 2007 | Mise à jour : 12 septembre 2007
Version : 1.1
Informations générales
Résumé
Cette mise à jour de sécurité importante résout une vulnérabilité divulguée publiquement dans MSN Messenger et Windows Live Messenger. La vulnérabilité peut autoriser l’exécution de code à distance lorsqu’un utilisateur accepte une invitation de conversation vidéo ou webcam d’un attaquant. Un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet du système concerné. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.
Les clients utilisant MSN Messenger 7.0.0820 ou Windows Live Messenger 8.1 ne sont pas affectés par cette vulnérabilité. Pour plus d’informations, consultez la sous-section, Les logiciels affectés et non affectés, dans cette section.
Pour plus d’informations sur la vulnérabilité, consultez la sous-section Questions fréquentes (FAQ) sur l’entrée de vulnérabilité spécifique dans la section suivante, Informations sur les vulnérabilités.
Recommandation. Microsoft recommande aux clients d’utiliser MSN Messenger 6.2 et MSN Messenger 7.0 sur la mise à niveau de Microsoft Windows 2000 Service Pack 4 vers MSN Messenger 7.0.0820 au plus tôt. Les clients sur d’autres plateformes Windows prises en charge, exécutant MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 ou Windows Live Messenger 8.0, doivent effectuer une mise à niveau vers Windows Live Messenger 8.1 au plus tôt.
Problèmes connus. Aucun
Logiciels affectés et non affectés
Les logiciels suivants ont été testés pour déterminer quelles versions ou éditions sont affectées. D’autres versions ou éditions dépassent leur cycle de vie de support ou ne sont pas affectées.
Logiciel affecté
| Système d'exploitation | Logiciel | Impact maximal sur la sécurité | Évaluation de gravité agrégée | Bulletins remplacés par cette mise à jour |
|---|---|---|---|---|
| Microsoft Windows 2000 Service Pack 4 | MSN Messenger 6.2\ MSN Messenger 7.0 | Exécution de code à distance | Important | Aucun |
| Windows XP Service Pack 2 | MSN Messenger 6.2 MSN Messenger 7.0\ MSN Messenger 7.5\ Windows Live Messenger 8.0\ | Exécution de code à distance | Important | Aucun |
| Windows XP Professionnel Édition x64 | MSN Messenger 6.2 MSN Messenger 7.0\ MSN Messenger 7.5\ Windows Live Messenger 8.0\ | Exécution de code à distance | Important | Aucun |
| Windows XP Professional x64 Edition Service Pack 2 | MSN Messenger 6.2 MSN Messenger 7.0\ MSN Messenger 7.5\ Windows Live Messenger 8.0\ | Exécution de code à distance | Important | Aucun |
| Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2 | MSN Messenger 6.2 MSN Messenger 7.0\ MSN Messenger 7.5\ Windows Live Messenger 8.0\ | Exécution de code à distance | Important | Aucun |
| Windows Server 2003 x64 Edition | MSN Messenger 6.2 MSN Messenger 7.0\ MSN Messenger 7.5\ Windows Live Messenger 8.0\ | Exécution de code à distance | Important | Aucun |
| Windows Server 2003 x64 Edition Service Pack 2 | MSN Messenger 6.2 MSN Messenger 7.0\ MSN Messenger 7.5\ Windows Live Messenger 8.0\ | Exécution de code à distance | Important | Aucun |
| Windows Vista | MSN Messenger 6.2 MSN Messenger 7.0\ MSN Messenger 7.5\ Windows Live Messenger 8.0\ | Exécution de code à distance | Important | Aucun |
| Windows Vista x64 Edition | MSN Messenger 6.2 MSN Messenger 7.0\ MSN Messenger 7.5\ Windows Live Messenger 8.0\ | Exécution de code à distance | Important | Aucun |
Logiciels non affectés
| Système d'exploitation | Logiciel |
|---|---|
| Microsoft Windows 2000 Service Pack 4 | MSN Messenger 7.0.0820 |
| Windows XP Service Pack 2 | Windows Live Messenger 8.1 |
| Windows XP Professionnel Édition x64 | Windows Live Messenger 8.1 |
| Windows XP Professional x64 Edition Service Pack 2 | Windows Live Messenger 8.1 |
| Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2 | Windows Live Messenger 8.1 |
| Windows Server 2003 x64 Edition | Windows Live Messenger 8.1 |
| Windows Server 2003 x64 Edition Service Pack 2 | Windows Live Messenger 8.1 |
| Windows Vista | Windows Live Messenger 8.1 |
| Windows Vista x64 Edition | Windows Live Messenger 8.1 |
Questions fréquentes (FAQ) relatives à cette mise à jour de sécurité
Comment cette mise à niveau sera-t-elle distribuée ?
Lors de la connexion au service MSN Messenger, les utilisateurs de MSN Messenger 6.2 et MSN Messenger 7.0 sur les éditions prises en charge de Microsoft Windows 2000 Service Pack 4 seront invités par le mécanisme de déploiement du client dans le service MSN Messenger à accepter la mise à niveau vers MSN Messenger 7.0.0820.
En outre, les utilisateurs qui souhaitent télécharger la mise à niveau vers MSN Messenger 7.0.0820 immédiatement, peuvent le faire à l’aide du lien centre de téléchargement fourni dans la table Logicielle affectée. Notez que cela s’applique uniquement aux utilisateurs de MSN Messenger 6.2 et MSN Messenger 7.0 sur les éditions prises en charge de Microsoft Windows 2000 Service Pack 4.
Lors de la connexion à MSN Messenger ou au service Windows Live Messenger, les utilisateurs de MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 et Windows Live Messenger 8.0 sur les éditions de plateformes prises en charge ultérieures à Microsoft Windows 2000 Service Pack 4 seront invités par le mécanisme de déploiement du client dans le service MSN Messenger ou Windows Live Messenger pour accepter la mise à niveau vers Windows Live Messenger 8.1.
En outre, les utilisateurs qui souhaitent télécharger la mise à niveau vers Windows Live Messenger 8.1 immédiatement, peuvent le faire à l’aide du lien centre de téléchargement fourni dans la table Logicielle affectée. Notez que cela s’applique uniquement aux utilisateurs de MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 et Windows Live Messenger 8.0 sur les éditions prises en charge des plateformes ultérieures à Microsoft Windows 2000 Service Pack 4.
Dans le cas contraire, les utilisateurs des versions vulnérables des clients MSN Messenger ou Windows Live Messenger peuvent ne pas être autorisés à se connecter au service MSN Messenger ou Windows Live Messenger.
Pourquoi Microsoft publie-t-il cette mise à niveau sur le service MSN Messenger ou Windows Live Messenger et fournit-il des téléchargements ?
Microsoft émet actuellement des mises à niveau pour le client MSN Messenger ou Windows Live Messenger à l’aide du service MSN Messenger ou Windows Live Messenger, car ces services en ligne ont leur propre mécanisme de déploiement client. Toutefois, les liens du Centre de téléchargement sont également disponibles pour des clients MSN Messenger ou Windows Live Messenger spécifiques, s’exécutant sur des plateformes fournies dans la table Software affectée, car les utilisateurs peuvent souhaiter télécharger les mises à niveau immédiatement.
S’il s’agit d’une mise à niveau, comment puis-je détecter si j’ai une version vulnérable de MSN Messenger ou Windows Live Messenger ?
Lorsque vous tentez de vous connecter au service MSN Messenger ou Windows Live Messenger, le mécanisme de déploiement du client détermine automatiquement la version et la plateforme actuelles de votre client et, le cas échéant, recommandez la mise à niveau appropriée. Vous pouvez également vérifier votre version du client MSN Messenger ou Windows Live Messenger en cliquant sur Aide , puis à propos.
Que se passe-t-il si je n’effectue pas de mise à niveau vers MSN Messenger 7.0.0820 ou Windows Live Messenger 8.1 ?
Si vous ne effectuez pas de mise à niveau vers une version non affectée du client MSN Messenger ou Windows Live Messenger, en fonction de votre plateforme, vous serez informé de la mise à niveau sur chaque tentative de connexion. Si vous n’acceptez pas la mise à niveau, vous n’êtes peut-être pas autorisé à accéder au service MSN Messenger ou Windows Live Messenger. Consultez la table Logiciels non affectés dans cette section pour plus d’informations sur les plateformes et les versions de mise à niveau des clients MSN Messenger et Windows Live Messenger.
D’autres applications Microsoft Real-Time Collaboration, telles que Windows Messenger ou Bureau Communicator, sont-elles affectées par cette vulnérabilité ?
Non. Les autres applications de messagerie ne sont pas affectées, car elles ne contiennent pas le composant vulnérable.
Informations sur la vulnérabilité
Évaluations de gravité et identificateurs de vulnérabilité
| Logiciel affecté | Msn Messenger Webcam ou Video Chat Session Vulnérabilité d’exécution de code à distance - CVE-2007-2931 | Évaluation de gravité agrégée |
|---|---|---|
| MSN Messenger 6.2\ MSN Messenger 7.0\ MSN Messenger 7.5\ Windows Live Messenger 8.0 | Exécution de code à distance importante | Important |
Msn Messenger Webcam ou Video Chat Session Vulnérabilité d’exécution de code à distance - CVE-2007-2931
Une vulnérabilité d’exécution de code à distance existe dans MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 et Windows Live Messenger 8.0. La vulnérabilité peut autoriser l’exécution de code à distance lorsqu’un utilisateur choisit d’accepter une invitation de conversation vidéo ou webcam auprès d’un attaquant. Un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet du système concerné. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.
Pour afficher cette vulnérabilité comme entrée standard dans la liste Des vulnérabilités et des expositions courantes, consultez CVE-2007-2931.
Atténuation des facteurs pour la vulnérabilité d’exécution de code à distance de MSN Messenger Messenger ou de session de conversation vidéo - CVE-2007-2931
L’atténuation fait référence à un paramètre, à une configuration courante ou à une meilleure pratique générale, existant dans un état par défaut, qui peut réduire la gravité de l’exploitation d’une vulnérabilité. Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :
- Pour exploiter la vulnérabilité, un attaquant devra convaincre un utilisateur d’accepter une invitation de webcam ou de conversation vidéo dans un message MSN Messenger ou Windows Live Messenger. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à accepter l’invitation de webcam ou de conversation vidéo. Au lieu de cela, un attaquant aurait à convaincre les utilisateurs d’accepter l’invitation de webcam ou de conversation vidéo.
- Un attaquant qui a réussi à exploiter cette vulnérabilité peut obtenir les mêmes droits d’utilisateur que l’utilisateur local. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.
- Les utilisateurs de Windows Live Messenger 8.1, publiés en janvier 2007, sont déjà protégés contre cette vulnérabilité. Les utilisateurs de MSN Messenger 7.0.0820, récemment publiés, sont également déjà protégés contre cette vulnérabilité.
Solutions de contournement pour msn Messenger Webcam ou Session de conversation vidéo Vulnérabilité d’exécution de code à distance - CVE-2007-2931
La solution de contournement fait référence à un paramètre ou à une modification de configuration qui ne corrige pas la vulnérabilité sous-jacente, mais permet de bloquer les vecteurs d’attaque connus avant d’effectuer la mise à niveau. Microsoft a testé les solutions de contournement et les états suivants dans la discussion si une solution de contournement réduit les fonctionnalités :
Bloquez le trafic MSN Messenger ou Windows Live Messenger à l’aide d’ISA Server. Consultez l’article 925120 de la Base de connaissances Microsoft.
Impact de la solution de contournement. Cela empêche MSN Messenger ou Windows Live Messenger d’entrer ou de quitter votre entreprise.
Bloquer la sélection des ports réseau pour MSN Messenger ou Windows Live Messenger. Consultez l’article 927847 de la Base de connaissances Microsoft.
Impact de la solution de contournement. Cela permet aux administrateurs d’empêcher sélectivement les sessions de webcam et de conversation vidéo, plutôt que de bloquer complètement le trafic MSN Messenger ou Windows Live Messenger.
FAQ sur MSN Messenger Webcam ou Video Chat Session Remote Code Execution Vulnerability - CVE-2007-2931
Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité d’exécution de code à distance. Un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet d’un système affecté. Un attaquant peut ensuite installer des programmes ou afficher, modifier ou supprimer des données, ou créer de nouveaux comptes avec des droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.
Quelles sont les causes de la vulnérabilité ?
La vulnérabilité existe dans la façon dont MSN Messenger ou Windows Live Messenger gère des sessions de webcam ou de conversation vidéo spécialement conçues. Par conséquent, la mémoire peut être endommagée de telle sorte qu’un attaquant puisse exécuter du code arbitraire dans le contexte de sécurité de l’utilisateur connecté.
Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet d’un système affecté. Un attaquant peut ensuite installer des programmes ou afficher, modifier ou supprimer des données, ou créer de nouveaux comptes avec des droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.
Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Un attaquant peut envoyer une invitation à un utilisateur pour participer à une session de webcam ou de conversation vidéo spécialement conçue pour exploiter cette vulnérabilité. Toutefois, un attaquant n’aurait aucun moyen de forcer les utilisateurs à rejoindre une session de webcam ou de conversation vidéo. Au lieu de cela, un attaquant aurait à convaincre les utilisateurs d’accepter l’invitation de webcam ou de conversation vidéo.
Quels systèmes sont principalement exposés à la vulnérabilité ?
Cette vulnérabilité nécessite qu’un utilisateur soit connecté au service MSN Messenger ou Windows Live Messenger et accepte une invitation de conversation webcam ou vidéo pour toute action malveillante. Par conséquent, tout système où MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 ou Windows Live Messenger 8.0 est utilisé, comme les stations de travail ou les serveurs, est à risque de cette vulnérabilité.
Que fait la mise à jour ?
MSN Messenger 7.0.0820 et Windows Live Messenger 8.1 ont été mis à jour pour gérer suffisamment les sessions de webcam ou de conversation vidéo.
Je n’utilise pas de webcams. Dois-je quand même effectuer la mise à niveau ?
Oui. Lorsque vous vous connectez, le service MSN Messenger ou Windows Live Messenger vous informe de procéder à la mise à niveau vers le client MSN Messenger ou Windows Live Messenger approprié pour votre plateforme si vous ne l’avez pas fait.
Quand ce bulletin de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Oui. Cette vulnérabilité a été divulguée publiquement. Elle a été affectée au numéro d’exposition et de vulnérabilité CVE-2007-2931.
Quand ce bulletin de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Non. Microsoft avait vu des exemples de preuve de code de concept publié publiquement, mais n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients lorsque ce bulletin de sécurité a été émis à l’origine.
Mettre à jour les informations
Déploiement des mises à jour de sécurité
Logiciel affecté
Pour plus d’informations sur la mise à jour de sécurité spécifique pour votre logiciel concerné, cliquez sur le lien approprié :
MSN Messenger (toutes les versions) sur Windows 2000
Tableau de référence
Le tableau suivant contient les informations à mettre à niveau vers MSN Messenger 7.0.0820 :
| Conditions préalables | MSN Messenger 6.2 sur Microsoft Windows 2000 Service Pack 4\ MSN Messenger 7.0 sur Microsoft Windows 2000 Service Pack 4 |
|---|---|
| Déploiement | Lors de la connexion au service MSN Messenger, acceptez l’invite de mise à niveau vers MSN Messenger 7.0.0820.\ \ En outre, les utilisateurs qui souhaitent télécharger la mise à niveau vers MSN Messenger 7.0.0820 immédiatement, peuvent le faire à l’aide du lien centre de téléchargement fourni dans la table Logicielle affectée. Notez que cela s’applique uniquement aux utilisateurs de MSN Messenger 6.2 et MSN Messenger 7.0 sur les éditions prises en charge de Microsoft Windows 2000 Service Pack 4. |
| Configuration requise pour le redémarrage | Oui, vous devrez peut-être redémarrer votre système après la mise à niveau si, pendant la mise à niveau, vous avez des utilisateurs avec plusieurs sessions MSN Messenger actives sur le système. |
| Informations de suppression | Utiliser l’outil Ajouter ou supprimer des programmes dans Panneau de configuration |
| Vérification de la mise à niveau | Dans MSN Messenger, cliquez sur Aide, puis sur À propos. Vérifiez que le numéro de version est 7.0.0820. |
MSN Messenger ou Windows Live Messenger (toutes les versions) sur Windows XP, Windows Server 2003 et Windows Vista
Tableau de référence
Le tableau suivant contient les informations à mettre à niveau vers Windows Live Messenger 8.1 :
| Conditions préalables | MSN Messenger 6.2 sur Windows XP Service Pack 2\ MSN Messenger 7.0 sur Windows XP Service Pack 2\ MSN Messenger 7.5 sur Windows XP Service Pack 2\ Windows Live Messenger 8.0 sur Windows XP Service Pack 2\ MSN Messenger 2\ MSN Messenger 26.2 sur Windows XP Professionnel x64 Edition\ MSN Messenger 7.0 sur Windows XP Professional x64 Edition\ MSN Messenger 7.5 sur Windows XP Professional x64 Edition\ Windows Live Messenger 8.0 sur Windows XP Professional x64 Edition\ MSN Messenger 6.2 sur Windows XP Professional x64 Edition Service Pack 2\ MSN Messenger 7.0 sur Windows XP Professional x64 Edition Service Pack 2\ MSN Messenger 7.5 sur Windows XP Professional x64 Edition Service Pack 2\ Windows Live Messenger 8.0 sur Windows XP Professional x64 Edition Service Pack 2\ MSN Messenger 6.2 sur Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2\ MSN Messenger 7.0 sur Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2\ MSN Messenger 7.5 sur Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2\ Windows Live Messenger 8.0 sur Windows Server 2003 Service Pack 1 et Windows Server 2003 Service Pack 2\ MSN Messenger 6.2 sur Windows Server 2003 x64 Edition\ MSN Messenger 7.0 sur Windows Server 2003 x64 Edition\ MSN Messenger 7.5 sur Windows Server 2003 x64 Edition\ Windows Live Messenger 8.0 sur Windows Windows Server 2003 x64 Edition\ MSN Messenger 6.2 sur Windows Server 2003 x64 Edition Service Pack 2\ MSN Messenger 7.0 sur Windows Server 2003 x64 Edition Service Pack 2\ MSN Messenger 7.5 sur Windows Server 2003 x Service Pack 2 édition 2\ Windows Live Messenger 8.0 sur Windows Server 2003 x64 Edition Service Pack 2\ MSN Messenger 6.2 sur Windows Vista\ MSN Messenger 7.0 sur Windows Vista\ MSN Messenger 7.5 sur Windows Vista\ Windows Live Messenger 8.0 sur Windows Vista\ MSN Messenger 6.2 sur Windows Vista x64 Edition\ MSN Messenger 7.0 sur Windows Vista x64 Edition\ MSN Messenger 7.5 sur Windows Vista x64 Edition\ Windows Live Messenger 8.0 sur Windows Vista x64 Edition |
|---|---|
| Déploiement | Lors de la connexion au service MSN Messenger ou Windows Live Messenger, acceptez l’invite de mise à niveau vers Windows Live Messenger 8.1.\ \ En outre, les utilisateurs qui souhaitent télécharger la mise à niveau vers Windows Live Messenger 8.1 immédiatement, peuvent le faire à l’aide du lien du Centre de téléchargement fourni dans la table Logicielle affectée. Notez que cela s’applique uniquement aux utilisateurs de MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 et Windows Live Messenger 8.0 sur les éditions prises en charge des plateformes ultérieures à Microsoft Windows 2000 Service Pack 4. |
| Configuration requise pour le redémarrage | Oui, vous devrez peut-être redémarrer votre système après la mise à niveau si, pendant la mise à niveau, vous avez des utilisateurs avec plusieurs sessions MSN Messenger ou Windows Live Messenger actives sur le système |
| Informations de suppression | Utiliser l’outil Ajouter ou supprimer des programmes dans Panneau de configuration |
| Vérification de la mise à niveau | Dans Windows Live Messenger, cliquez sur Aide, puis sur À propos. Vérifiez que le numéro de version est 8.1.0178.00. |
Autres informations
Remerciements
Microsoft remercie ce qui suit pour nous aider à protéger les clients :
- Woo Shi de l’équipe 509 pour signaler la vulnérabilité d’exécution de code à distance MSN Messenger Video Chat - CVE-2007-2931
Support
- Les clients aux États-Unis et au Canada peuvent recevoir un support technique de Microsoft Product Support Services au 1-866-PCSAFETY. Il n’existe aucun frais pour les appels de support associés aux mises à jour de sécurité.
- Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Il n’existe aucun frais pour la prise en charge associée aux mises à jour de sécurité. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support, visitez le site web du support international.
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (11 septembre 2007) : Bulletin publié.
- V1.1 (12 septembre 2007) : liens du centre de téléchargement ajoutés à la table Logicielle affectée pour la mise à niveau vers Windows Live Messenger 8.1.
Construit à 2014-04-18T13 :49 :36Z-07 :00