2024-03-18

Bulletin de sécurité

Bulletin de sécurité Microsoft MS09-035 - Modéré

Les vulnérabilités dans la bibliothèque de modèles active Visual Studio peuvent autoriser l’exécution de code à distance (969706)

Publication : 28 juillet 2009 | Mise à jour : 12 janvier 2010

Version : 3.0

Informations générales

Résumé

Cette mise à jour de sécurité traite plusieurs vulnérabilités signalées en privé dans les versions publiques de la bibliothèque de modèles Active Microsoft (ATL) incluse dans Visual Studio. Cette mise à jour de sécurité est spécifiquement destinée aux développeurs de composants et de contrôles. Les développeurs qui créent et redistribuent des composants et des contrôles à l’aide d’ATL doivent installer la mise à jour fournie dans ce bulletin et suivre les instructions fournies pour créer et distribuer à leurs clients, composants et contrôles qui ne sont pas vulnérables aux vulnérabilités décrites dans ce bulletin de sécurité.

Ce bulletin de sécurité traite des vulnérabilités qui pourraient permettre l’exécution de code à distance si un utilisateur a chargé un composant ou un contrôle créé avec les versions vulnérables d’ATL.

Bien que la plupart des bulletins de sécurité Microsoft traitent du risque d’une vulnérabilité pour un produit spécifique, ce bulletin de sécurité traite des vulnérabilités qui peuvent être présentes dans les produits générés à l’aide de l’ATL. Par conséquent, cette mise à jour de sécurité est évaluée modérée pour toutes les éditions prises en charge de Microsoft Visual Studio .NET 2003, Microsoft Visual Studio 2005, Microsoft Visual Studio 2008, Microsoft Visual C++ 2005 Redistributable Package et Microsoft Visual C++ 2008 Redistributable Package.

Pour plus d’informations sur l’impact, les solutions de contournement et les atténuations pour les contrôles et les composants susceptibles d’être vulnérables à ces problèmes, consultez l’avis de sécurité Microsoft (973882).

Pour plus d’informations, consultez la sous-section, Les logiciels affectés et non affectés, dans cette section.

La mise à jour de sécurité résout les vulnérabilités en modifiant les en-têtes ATL afin que les composants et les contrôles générés à l’aide des en-têtes puissent s’initialiser en toute sécurité à partir d’un flux de données. Pour plus d’informations sur les vulnérabilités, consultez la sous-section Questions fréquentes (FAQ) sur l’entrée de vulnérabilité spécifique dans la section suivante, Informations sur les vulnérabilités.

Recommandation. Les développeurs qui ont créé des composants et des contrôles à l’aide d’ATL doivent télécharger cette mise à jour et recompiler leurs composants et contrôles en suivant les instructions fournies dans l’article MSDN suivant.

La majorité des clients Visual Studio qui ont la mise à jour automatique activée recevront automatiquement cette mise à jour et recevront l’ATL mis à jour. Toutefois, comme indiqué précédemment, des étapes supplémentaires seront nécessaires pour mettre à jour les contrôles et composants potentiellement vulnérables. Les clients qui n’ont pas activé la mise à jour automatique doivent case activée pour les mises à jour et installer cette mise à jour manuellement. Pour plus d’informations sur les options de configuration spécifiques dans la mise à jour automatique, consultez l’article de la Base de connaissances Microsoft 294871.

Pour les administrateurs et les installations d’entreprise ou les utilisateurs finaux qui souhaitent installer cette mise à jour de sécurité manuellement, Microsoft recommande aux clients d’appliquer la mise à jour immédiatement à l’aide du logiciel de gestion des mises à jour, ou en case activée pour les mises à jour à l’aide du service Microsoft Update.

Consultez également la section Outils de détection et de déploiement et conseils, plus loin dans ce bulletin.

Problèmes connus.L’article de la Base de connaissances Microsoft 969706 documente les problèmes actuellement connus rencontrés par les clients lors de l’installation de cette mise à jour de sécurité. L’article documente également les solutions recommandées pour ces problèmes.

Logiciels affectés et non affectés

Les logiciels suivants ont été testés pour déterminer quelles versions ou éditions sont affectées. D’autres versions ou éditions dépassent leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie du support pour votre version ou édition logicielle, visitez Support Microsoft cycle de vie.

Logiciel affecté

Logiciel	Impact maximal sur la sécurité	Évaluation de gravité agrégée	Bulletins remplacés par cette mise à jour
Microsoft Visual Studio .NET 2003 Service Pack 1\ (Ko 971089)	Exécution de code à distance	Modéré	MS07-012
Microsoft Visual Studio 2005 Service Pack 1\ (Ko 971090)	Exécution de code à distance	Modéré	Aucun
Microsoft Visual Studio 2005 Service Pack 1*\ (Ko 973673)	Exécution de code à distance	Modéré	Aucun
Microsoft Visual Studio 2005 Service Pack 1 64 bits Hébergé Visual C++ Tools\ (Ko 973830)	Exécution de code à distance	Modéré	Aucun
Windows Embedded CE 6.0**\ (Ko 974616)	Exécution de code à distance	Modéré	Aucun
Microsoft Visual Studio 2008\ (Ko 971091)	Exécution de code à distance	Modéré	Aucun
Microsoft Visual Studio 2008*\ (Ko 973674)	Exécution de code à distance	Modéré	Aucun
Microsoft Visual Studio 2008 Service Pack 1\ (Ko 971092)	Exécution de code à distance	Modéré	Aucun
Microsoft Visual Studio 2008 Service Pack 1*\ (Ko 973675)	Exécution de code à distance	Modéré	Aucun
Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package\ (Ko 973544)	Exécution de code à distance	Modéré	Aucun
Microsoft Visual C++ 2008 Redistributable Package\ (Ko 973551)	Exécution de code à distance	Modéré	Aucun
Microsoft Visual C++ 2008 Service Pack 1 Redistributable Package\ (Ko 973552)	Exécution de code à distance	Modéré	Aucun

*Pour les applications mobiles utilisant ATL pour les appareils intelligents

**Installe la mise à jour mensuelle Windows Embedded CE 6.0 (décembre 2009). Ce package de mise à jour est disponible uniquement à partir du Centre de téléchargement Microsoft.

Pourquoi ce bulletin a-t-il été réédité le 12 janvier 2010 ?
Microsoft a réécrit ce bulletin pour ajouter Windows Embedded CE 6.0 aux logiciels affectés. La mise à jour pour Windows Embedded CE 6.0 (Ko 974616) est une mise à jour cumulative disponible uniquement à partir du Centre de téléchargement Microsoft. Les clients qui utilisent la plateforme Windows Embedded CE 6.0 doivent envisager d’appliquer la mise à jour cumulative. Aucun autre package de mise à jour n’est affecté par cette réécriture.

Pourquoi ce bulletin a-t-il été révisé le 8 septembre 2009 ?
Ce bulletin a été révisé pour communiquer que les problèmes connus liés à cette mise à jour de sécurité dans l’article de la Base de connaissances Microsoft associé 969706 été révisé pour modifier le nombre de problèmes connus Ko 974223 à Ko 974479, afin d’offrir une mise à jour non de sécurité pour résoudre le problème. Les utilisateurs de Microsoft Visual Studio 2008 Service Pack 1 qui n’ont pas installé la mise à jour de sécurité décrite dans ce bulletin recevront automatiquement la mise à jour de sécurité et la mise à jour non liée à la sécurité via Microsoft Update. Les utilisateurs de Microsoft Visual Studio 2008 Service Pack 1 qui ont déjà installé la mise à jour de sécurité seront automatiquement proposés à la mise à jour sans sécurité via Windows Update. Les utilisateurs de Microsoft Visual Studio 2008 Service Pack 1 qui ont déjà installé la mise à jour de sécurité n’ont pas besoin de réinstaller la mise à jour de sécurité et n’ont besoin que d’installer la mise à jour non de sécurité s’ils rencontrent les problèmes décrits dans Ko 974479.

Pourquoi ce bulletin a-t-il été réédité le 11 août 2009 ?
Microsoft a réécrit ce bulletin pour proposer de nouvelles mises à jour pour les plateformes suivantes :

Microsoft Visual Studio 2005 Service Pack 1 (Ko 973673)
Microsoft Visual Studio 2008 (Ko 973674)
Microsoft Visual Studio 2008 Service Pack 1 (Ko 973675)

Les nouvelles mises à jour de sécurité sont destinées aux développeurs qui utilisent Visual Studio pour créer des composants et des contrôles pour les applications mobiles à l’aide d’ATL pour les appareils intelligents. Tous les développeurs Visual Studio doivent installer ces nouvelles mises à jour afin qu’ils puissent utiliser Visual Studio pour créer des composants et des contrôles qui ne sont pas vulnérables aux problèmes signalés.

Pour plus d’informations sur ce problème connu, consultez l’article 969706 de la Base de connaissances Microsoft.

Pourquoi ce bulletin a-t-il été révisé le 4 août 2009 ?
Ce bulletin a été révisé pour communiquer que les problèmes connus avec cette section de mise à jour de sécurité dans l’article de la Base de connaissances Microsoft associée 969706 été révisé, et que la logique de détection de mise à jour pour Ko 973923 et Ko 973924 a été révisée pour corriger un problème de re-offre de package. La logique de détection d’origine a déterminé si la mise à jour devait être installée par case activée ing pour confirmer que la mise à jour n’était pas déjà installée. Les packages Redistribuables Visual C++ (Ko 973544, Ko 973551, Ko 973552), disponibles à partir du Centre de téléchargement Microsoft, sont un sur-ensemble complet des packages de mise à jour ATL correspondants (Ko 973923, Ko 973924), disponibles uniquement à partir de Microsoft Update. Les clients qui ont installé la version mise à jour du package Redistribuable Visual C++ n’ont pas besoin d’installer les packages de mise à jour ATL correspondants. Les modifications de détection comptent pour cela et n’offrent pas à nouveau les packages de mise à jour ATL lorsque la version fixe correspondante de la mise à jour redistribuable Visual C++ est déjà installée. Une nouvelle entrée a également été ajoutée à cette section Questions fréquentes (FAQ) relatives à cette mise à jour de sécurité pour clarifier la différence entre les packages Redistribuables Visual C++ et les autres mises à jour visual Studio. Les entreprises qui n’utilisent pas Microsoft Update pour le déploiement de mises à jour qui doivent déployer les mises à jour offertes par ce bulletin par d’autres moyens peuvent télécharger et déployer les packages Redistribuables Visual C++ complets, car il s’agit d’un super-ensemble complet des packages de mise à jour ATL correspondants.

Quelle est la différence entre les packages Redistribuables Visual C++ et les autres mises à jour visual Studio ?
Les packages Redistribuables Visual C++ sont des versions complètes de ce produit qui peuvent être redistribuées par toute personne disposant de ses applications. Les clients qui doivent expédier visual C++ Redistributable doivent récupérer ces packages et les regrouper ou les chaîner dans leurs configurations. Les autres mises à jour de Visual Studio sont disponibles pour les clients qui ont précédemment installé une version antérieure du produit Redistribuable Visual C++ ou qui ont installé le produit Visual Studio. Ces packages de mise à jour sont proposés aux clients via Microsoft Update uniquement et s’appliquent uniquement si une version antérieure de Visual C++ Redistributable ou Visual Studio est présente.

Pourquoi le Centre de téléchargement Microsoft met-il à jour Ko numéros pour les packages redistribuables Visual C++ diffère-t-il des numéros SMS, SCCM, WSUS et Ko MU ?
Les versions complètes des packages redistribuables Visual C++ 2005 et 2008 fixes (Ko 973544, Ko 973551 et Ko 973552) sont répertoriées dans le Centre de téléchargement Microsoft uniquement, car elles sont complètes de nouvelles versions des produits. Les mises à jour répertoriées sur SMS, SCCM, WSUS et MU (Ko 973923, Ko 9739234) sont des mises à jour uniquement pour les clients qui ont précédemment installé des versions vulnérables des packages redistribuables Visual C++. Ces mises à jour ne sont pas les versions du centre de téléchargement. Microsoft ne recommande pas aux clients de redistribuer une version autre que les versions complètes qui peuvent être téléchargées à partir du Centre de téléchargement Microsoft (Ko 973544, Ko 973551 et Ko 973552).

Pourquoi cette mise à jour de sécurité a-t-elle été publiée hors bande ?
Cette mise à jour de sécurité est publiée hors bande pour résoudre les problèmes divulgués dans l’avis de sécurité Microsoft (973882), « Les vulnérabilités dans la bibliothèque de modèles Active Microsoft (ATL) pourraient autoriser l’exécution de code à distance . »

Comment ce bulletin est-il lié aux vulnérabilités décrites dans microsoft Security Advisory (973882) ?
Ce bulletin résout les vulnérabilités dans la version publique de la bibliothèque de modèles actifs (ATL). Les vulnérabilités dans la version privée d’ATL sont décrites dans Microsoft Security Advisory (973882).

S’il s’agit de vulnérabilités d’exécution de code à distance, pourquoi ce bulletin n’est-il évalué que modéré ?
Ce bulletin est évalué modéré, car Microsoft Visual Studio, par défaut, n’est pas affecté par ces vulnérabilités. Les contrôles et composants créés à l’aide de l’ATL affecté sont vulnérables et, s’ils sont affectés, sont évalués critiques ou modérés en fonction du type de vulnérabilité présent dans le contrôle ou le composant.

Les utilisateurs de Visual Studio sont-ils directement affectés par ces vulnérabilités ?
Non. L’existence de Visual Studio sur votre système ne vous rend pas vulnérable à ce problème.

La mise à jour associée à ce bulletin est destinée aux développeurs qui créent des composants et des contrôles afin qu’ils puissent utiliser Visual Studio pour créer des composants et des contrôles qui ne sont pas vulnérables aux problèmes signalés. Seuls les composants et contrôles vulnérables développés avec une version ATL affectée sont affectés par ce problème. Les développeurs qui ont créé ou redistribué des composants et des contrôles créés avec des versions affectées d’ATL doivent installer la mise à jour fournie dans ce bulletin et suivre les étapes fournies pour s’assurer que leurs composants et contrôles ne contiennent pas les vulnérabilités décrites dans ce bulletin.

Quelles sont les versions de la bibliothèque ActiveTemplate affectées par ces vulnérabilités ?
Les versions 7.0, 7.1, 8.0 et 9.0 sont affectées. Toutes les autres versions ne sont pas prises en charge.

Quelles sont les versions de Visual Studio affectées ?
Veuillez consulter le logiciel affecté et non affecté, dans ce Bulletin de sécurité Microsoft.

Cette mise à jour de sécurité est-elle liée à MS09-034, également publiée en tant que mise à jour hors bande ?
Oui. Le Bulletin de sécurité Microsoft MS09-034, « Mise à jour de sécurité cumulative pour Internet Explorer », inclut une atténuation qui permet d’empêcher les composants et les contrôles créés à l’aide de l’ATL vulnérable d’être exploités dans Internet Explorer, ainsi que de traiter plusieurs vulnérabilités non liées. Les nouvelles protections de défense en profondeur offertes dans MS09-034 incluent les mises à jour apportées à Internet Explorer 5.01, Internet Explorer 6 et Internet Explorer 6 Service Pack 1, Internet Explorer 7 et Internet Explorer 8, qui surveillent et empêchent l’exploitation réussie de toutes les vulnérabilités ATL publiques et privées connues, notamment les vulnérabilités susceptibles de contourner la fonctionnalité de sécurité des bits de destruction d’ActiveX. Ces protections sont conçues pour protéger les clients contre les attaques basées sur le web.

Si j’ai installé la mise à jour MS09-034, dois-je toujours installer cette mise à jour ?
Cette mise à jour de sécurité est spécifiquement destinée aux développeurs de composants et de contrôles. Les développeurs qui ont créé ou redistribué des composants et des contrôles créés avec des versions affectées de la bibliothèque de modèles actifs doivent installer la mise à jour fournie dans ce bulletin et suivre les étapes fournies pour s’assurer que leurs composants et contrôles ne contiennent pas les vulnérabilités décrites dans ce bulletin.

Si j’ai installé la mise à jour MS09-034, dois-je quand même installer des composants et des contrôles supplémentaires par Microsoft ou des tiers qui répondent aux vulnérabilités décrites dans microsoft Security Advisory 973882 et Microsoft Security Bulletin MS09-035 ?
L’atténuation d’Internet Explorer MS09-034 ne traite pas les vulnérabilités sous-jacentes au sein de certains composants et contrôles développés avec la bibliothèque de modèles active. Microsoft recommande aux développeurs de suivre les instructions fournies dans ce bulletin pour modifier et reconstruire tous les composants et contrôles affectés par les vulnérabilités décrites dans ce bulletin.

Où sont les détails des informations sur le fichier ?
Reportez-vous aux tables de référence de la section Déploiement des mises à jour de sécurité pour connaître l’emplacement des informations de fichier.

Qu’est-ce qu’ATL ?
La bibliothèque ATL (Active Template Library) est un ensemble de classes C++ basées sur un modèle qui vous permettent de créer des objets COM (Component Object Model) petits et rapides. Elle assure une prise en charge spéciale des principales fonctionnalités COM, telles que les implémentations stock, interfaces doubles, interfaces d’énumérateur COM standard, points de connexion, interfaces détachables et contrôles ActiveX. Pour plus d’informations, consultez l’article MSDN suivant.

Les composants et les contrôles tiers sont-ils affectés par ce problème ?
Certains composants et contrôles tiers peuvent être affectés par ce problème si certaines conditions ont été remplies pendant la construction des composants et contrôles. Microsoft recommande aux développeurs de suivre les instructions fournies dans ce bulletin pour modifier et reconstruire tous les composants et contrôles affectés par les vulnérabilités décrites dans ce bulletin.

Je suis développeur d’applications tiers et j’utilise ATL dans mes composants et contrôles. Mes composants et contrôles sont-ils vulnérables et, le cas échéant, comment les mettre à jour ?
Pour obtenir des instructions sur la façon de déterminer si vos composants et contrôles sont vulnérables et comment les mettre à jour, consultez l’article MSDN suivant.

Pourquoi cette mise à jour traite-t-elle plusieurs vulnérabilités de sécurité signalées ?
Cette mise à jour contient la prise en charge de plusieurs vulnérabilités, car les modifications requises pour résoudre ces problèmes se trouvent dans des fichiers associés. Au lieu d’installer plusieurs mises à jour presque identiques, les clients doivent installer cette mise à jour uniquement.

J’utilise une version plus ancienne du logiciel abordé dans ce bulletin de sécurité. Que dois-je faire ?
Les logiciels concernés répertoriés dans ce bulletin ont été testés pour déterminer quelles versions sont affectées. D’autres versions sont passées au-delà de leur cycle de vie de support. Pour déterminer le cycle de vie de support de votre version logicielle, visitez Support Microsoft cycle de vie.

Il doit s’agir d’une priorité pour les clients qui ont des versions antérieures du logiciel à migrer vers des versions prises en charge afin d’éviter toute exposition potentielle aux vulnérabilités. Pour plus d’informations sur le cycle de vie des produits Windows, visitez Support Microsoft cycle de vie. Pour plus d’informations sur la période de prise en charge des mises à jour de sécurité étendues pour ces versions ou éditions de logiciels, visitez les services de support technique Microsoft.

Les clients qui ont besoin d’un support personnalisé pour les versions antérieures doivent contacter leur représentant de l’équipe de compte Microsoft, leur responsable de compte technique ou le représentant partenaire Microsoft approprié pour les options de support personnalisé. Les clients sans contrat Alliance, Premier ou Autorisé peuvent contacter leur bureau de vente Microsoft local. Pour obtenir des informations de contact, visitez Microsoft Worldwide Information, sélectionnez le pays, puis cliquez sur Atteindre pour afficher la liste des numéros de téléphone. Lorsque vous appelez, demandez à parler avec le directeur commercial premier support local. Pour plus d’informations, consultez le FAQ sur le cycle de vie du support technique du système d’exploitation Windows.

Je suis développeur et j’ai des questions concernant ce problème qui ne sont pas documentés dans ce Bulletin de sécurité Microsoft. Que puis-je faire ?
Dans le cadre de notre réponse à ce problème, Microsoft fournit du contenu de développeur spécialisé et des liens vers des forums pour répondre à vos questions par les ressources Microsoft et la communauté des développeurs Microsoft. Pour plus d’informations, consultez l’article MSDN suivant.

Informations sur la vulnérabilité

Évaluations de gravité et identificateurs de vulnérabilité

Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de juillet. Pour plus d’informations, consultez Microsoft Exploitability Index.

Logiciel affecté	Vulnérabilité de l’objet non initialisé ATL - CVE-2009-0901	Vulnérabilité d’initialisation COM ATL - CVE-2009-2493	Vulnérabilité de chaîne NULL ATL - CVE-2009-2495	Évaluation de gravité agrégée
Microsoft Visual Studio .NET 2003 Service Pack 1	Modéré \ Exécution de code à distance	Modéré \ Exécution de code à distance	Modéré \ Divulgation d’informations	Moderate
Microsoft Visual Studio 2005 Service Pack 1	Modéré \ Exécution de code à distance	Modéré \ Exécution de code à distance	Modéré \ Divulgation d’informations	Moderate
Outils Visual C++ hébergés microsoft Visual Studio 2005 Service Pack 1 64 bits	Modéré \ Exécution de code à distance	Modéré \ Exécution de code à distance	Modéré \ Divulgation d’informations	Moderate
Windows Embedded CE 6.0	Modéré \ Exécution de code à distance	Modéré \ Exécution de code à distance	Modéré \ Divulgation d’informations	Moderate
Microsoft Visual Studio 2008	Modéré \ Exécution de code à distance	Modéré \ Exécution de code à distance	Modéré \ Divulgation d’informations	Moderate
Microsoft Visual Studio 2008 Service Pack 1	Non applicable	Modéré \ Exécution de code à distance	Modéré \ Divulgation d’informations	Moderate
Package redistribuable Microsoft Visual C++ 2005 Service Pack 1	Modéré \ Exécution de code à distance	Modéré \ Exécution de code à distance	Modéré \ Divulgation d’informations	Moderate
Package redistribuable Microsoft Visual C++ 2008	Modéré \ Exécution de code à distance	Modéré \ Exécution de code à distance	Modéré \ Divulgation d’informations	Moderate
Package redistribuable Microsoft Visual C++ 2008 Service Pack 1	Modéré \ Exécution de code à distance	Modéré \ Exécution de code à distance	Modéré \ Divulgation d’informations	Moderate

Vulnérabilité de l’objet non initialisé ATL - CVE-2009-0901

Une vulnérabilité d’exécution de code à distance existe dans la bibliothèque de modèles Active Microsoft (ATL) en raison d’un problème dans les en-têtes ATL qui pourraient permettre à un attaquant de forcer l’appel de VariantClear sur un VARIANT qui n’a pas été correctement initialisé. En raison de cela, l’attaquant peut contrôler ce qui se passe quand VariantClear est appelé lors de la gestion d’une erreur en fournissant un flux endommagé. Cette vulnérabilité affecte uniquement les systèmes avec des composants et des contrôles installés qui ont été créés à l’aide de Visual Studio ATL. Ce problème peut permettre à un utilisateur distant non authentifié d’exécuter l’exécution de code à distance sur un système affecté. Un attaquant peut exploiter la vulnérabilité en construisant une page Web spécialement conçue. Lorsqu’un utilisateur affiche la page Web, la vulnérabilité peut autoriser l’exécution de code à distance.

Pour afficher cette vulnérabilité comme entrée standard dans la liste Des vulnérabilités et des expositions courantes, consultez CVE-2009-0901.

Atténuation des facteurs de vulnérabilité d’objet non initialisé ATL - CVE-2009-0901

L’atténuation fait référence à un paramètre, à une configuration courante ou à une meilleure pratique générale, existant dans un état par défaut, qui peut réduire la gravité de l’exploitation d’une vulnérabilité. Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :

Par défaut, Visual Studio en tant que produit n’est pas vulnérable à ce problème. Au lieu de cela, les composants et les contrôles créés avec les versions vulnérables d’ATL peuvent être vulnérables.
Les facteurs d’atténuation et les solutions de contournement pour les composants et les contrôles potentiellement vulnérables sont décrits dans l’avis de sécurité Microsoft (973882).

Solutions de contournement pour la vulnérabilité d’objet non initialisé ATL - CVE-2009-0901

La solution de contournement fait référence à un paramètre ou à une modification de configuration qui ne corrige pas la vulnérabilité sous-jacente, mais qui permet de bloquer les vecteurs d’attaque connus avant d’appliquer la mise à jour. Microsoft a testé les solutions de contournement et les états suivants dans la discussion si une solution de contournement réduit les fonctionnalités :

Les facteurs d’atténuation et les solutions de contournement pour les composants et les contrôles potentiellement vulnérables sont décrits dans l’avis de sécurité Microsoft (973882).

FAQ sur la vulnérabilité d’objet non initialisé ATL - CVE-2009-0901

Quelle est l’étendue de la vulnérabilité ?
Cette vulnérabilité affecte uniquement les systèmes dotés de composants et de contrôles vulnérables installés qui ont été créés à l’aide de versions affectées d’ATL de Microsoft.

Il s’agit d’une vulnérabilité d’exécution de code à distance. Par exemple, la vulnérabilité peut autoriser l’exécution de code à distance si l’utilisateur visite une page Web spécialement conçue avec Internet Explorer qui instancie un composant ou un contrôle vulnérable. Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur connecté.

Si un utilisateur est connecté avec des droits d’utilisateur administratifs, un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet d’un système affecté. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.

Quelles sont les causes de la vulnérabilité ?
La vulnérabilité résulte d’un problème dans les en-têtes ATL qui pourraient permettre à un attaquant d’appeler VariantClear() sur une variante qui n’a pas été correctement initialisée. Pour les développeurs qui ont créé un composant ou un contrôle à l’aide d’ATL de cette façon, le composant ou le contrôle résultant peut autoriser l’exécution de code distant dans le contexte de l’utilisateur connecté.

Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Si un utilisateur a un contrôle vulnérable sur son système et qu’un attaquant contourne les atténuations décrites dans l’avis de sécurité Microsoft (973882), un attaquant peut prendre le contrôle complet du système concerné. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.

Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Un attaquant peut héberger un site Web spécialement conçu pour exploiter cette vulnérabilité via Internet Explorer en tentant d’exploiter un contrôle vulnérable, puis convaincre un utilisateur d’afficher le site Web. Cela peut également inclure des sites Web compromis et des sites Web qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur. Ces sites web peuvent contenir du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité. Toutefois, dans tous les cas, un attaquant devra découvrir un contrôle vulnérable et forcer les utilisateurs à visiter ces sites Web. Pour ce faire, un attaquant doit convaincre les utilisateurs de visiter le site Web, généralement en les obtenant pour cliquer sur un lien dans un message électronique ou dans une demande Instant Messenger qui amène les utilisateurs sur le site Web de l’attaquant. Il peut également être possible d’afficher du contenu Web spécialement conçu à l’aide de bannières publicitaires ou en utilisant d’autres méthodes pour fournir du contenu Web aux systèmes concernés.

Quels systèmes sont principalement exposés à la vulnérabilité ?
Les stations de travail et les serveurs terminal sont principalement à risque. Les serveurs peuvent être plus risqués si les utilisateurs qui ne doivent pas disposer d’autorisations d’administration suffisantes sont autorisés à se connecter aux serveurs et à exécuter des programmes. Toutefois, les meilleures pratiques découragent fortement cette autorisation.

Que fait la mise à jour ?
La mise à jour résout le problème en garantissant que VariantClear() ne peut être appelé que sur des variantes initialisées et fournit des versions mises à jour d’ATL qui permettent aux développeurs de résoudre ce problème dans des contrôles potentiellement vulnérables.

Quand ce bulletin de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Non. Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation responsable. Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été divulguée publiquement lorsque ce bulletin de sécurité a été émis à l’origine.

Quand ce bulletin de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Non. Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients et n’avait pas vu d’exemples de preuve de code de concept publié lorsque ce bulletin de sécurité a été émis à l’origine.

Vulnérabilité d’initialisation COM ATL - CVE-2009-2493

Une vulnérabilité d’exécution de code à distance existe dans la bibliothèque de modèles Active Microsoft (ATL) en raison de problèmes dans les en-têtes ATL qui gèrent l’instanciation d’un objet à partir de flux de données. Cette vulnérabilité affecte uniquement les systèmes avec des composants et des contrôles installés qui ont été créés à l’aide de Visual Studio ATL. Pour les composants et les contrôles générés à l’aide d’ATL, l’utilisation non sécurisée d’OleLoadFromStream peut permettre l’instanciation d’objets arbitraires qui peuvent contourner la stratégie de sécurité associée, comme les bits de destruction dans Internet Explorer. Ce problème peut permettre à un utilisateur distant non authentifié d’exécuter l’exécution de code à distance sur un système affecté. Un attaquant peut exploiter la vulnérabilité en construisant une page Web spécialement conçue. Lorsqu’un utilisateur affiche la page Web, la vulnérabilité peut autoriser l’exécution de code à distance.

Pour afficher cette vulnérabilité comme entrée standard dans la liste Des vulnérabilités et des expositions courantes, consultez CVE-2009-2493.

Atténuation des facteurs d’initialisation ATL COM - CVE-2009-2493

Par défaut, Visual Studio en tant que produit n’est pas vulnérable à ce problème. Au lieu de cela, les composants et les contrôles créés avec les versions vulnérables d’ATL peuvent être vulnérables.
Les facteurs d’atténuation et les solutions de contournement pour les composants et les contrôles potentiellement vulnérables sont décrits dans l’avis de sécurité Microsoft (973882).

Solutions de contournement pour la vulnérabilité d’initialisation COM ATL - CVE-2009-2493

Les facteurs d’atténuation et les solutions de contournement pour les composants et les contrôles potentiellement vulnérables sont décrits dans l’avis de sécurité Microsoft (973882).

FAQ sur la vulnérabilité d’initialisation COM ATL - CVE-2009-2493

Quelle est l’étendue de la vulnérabilité ?
Cette vulnérabilité affecte uniquement les systèmes avec des composants et des contrôles installés qui ont été créés à l’aide de Visual Studio ATL.

Il s’agit d’une vulnérabilité d’exécution de code à distance. La vulnérabilité peut autoriser l’exécution de code à distance si l’utilisateur visite une page Web spécialement conçue avec Internet Explorer, instanciant un composant ou un contrôle vulnérable. Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur connecté.

Quelles sont les causes de la vulnérabilité ?
La vulnérabilité résulte de problèmes dans les en-têtes ATL qui gèrent l’instanciation d’un objet à partir de flux de données. Pour les composants et les contrôles générés à l’aide d’ATL, l’utilisation non sécurisée d’OleLoadFromStream peut permettre l’instanciation d’objets arbitraires qui peuvent contourner certaines stratégies de sécurité associées.

Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Si un utilisateur a un contrôle vulnérable sur son système et qu’un attaquant contourne les atténuations décrites dans l’avis de sécurité Microsoft (973882), alors si l’utilisateur est connecté avec des droits d’utilisateur administratifs, un attaquant peut prendre le contrôle complet du système concerné. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.

Que fait la mise à jour ?
La mise à jour résout la vulnérabilité en corrigeant la façon dont ATL gère l’instanciation des objets à partir du flux de données et en fournissant des versions mises à jour d’ATL qui permettent aux développeurs de résoudre ce problème dans les contrôles potentiellement vulnérables.

Vulnérabilité de chaîne NULL ATL - CVE-2009-2495

Une vulnérabilité de divulgation d’informations existe dans la bibliothèque de modèles Active Microsoft (ATL) qui peut permettre la lecture d’une chaîne sans caractère NULL de fin. Un attaquant peut manipuler cette chaîne pour lire des données supplémentaires au-delà de la fin de la chaîne et donc divulguer des informations en mémoire. Cette vulnérabilité affecte uniquement les systèmes avec des composants et des contrôles installés qui ont été créés à l’aide de Visual Studio ATL. Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter un composant ou un contrôle malveillant qui pourrait divulguer des informations, transférer des données utilisateur à un tiers, ou accéder à toutes les données sur les systèmes concernés accessibles à l’utilisateur connecté. Notez que cette vulnérabilité ne permettrait pas à un attaquant d’exécuter du code ou d’élever directement ses droits d’utilisateur, mais qu’elle pourrait être utilisée pour produire des informations qui pourraient être utilisées pour tenter de compromettre davantage le système concerné.

Pour afficher cette vulnérabilité comme entrée standard dans la liste Des vulnérabilités et des expositions courantes, consultez CVE-2009-2495.

Atténuation des facteurs de vulnérabilité de chaîne null ATL - CVE-2009-2495

Par défaut, Visual Studio en tant que produit n’est pas vulnérable à ce problème. Au lieu de cela, les composants et les contrôles créés avec les versions vulnérables d’ATL peuvent être vulnérables.
Les facteurs d’atténuation et les solutions de contournement pour les composants et les contrôles potentiellement vulnérables sont décrits dans l’avis de sécurité Microsoft (973882).

Solutions de contournement pour la vulnérabilité de chaîne null ATL - CVE-2009-2495

Les facteurs d’atténuation et les solutions de contournement pour les composants et les contrôles potentiellement vulnérables sont décrits dans l’avis de sécurité Microsoft (973882).

FAQ sur la vulnérabilité de chaîne null ATL - CVE-2009-2495

Il s’agit d’une vulnérabilité de divulgation d’informations. Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter un composant ou un contrôle malveillant qui pourrait divulguer des informations, transférer des données utilisateur à un tiers, ou accéder à toutes les données sur les systèmes concernés accessibles à l’utilisateur connecté. Notez que cette vulnérabilité ne permettrait pas à un attaquant d’exécuter du code ou d’élever directement ses droits utilisateur, mais qu’elle pourrait être utilisée pour produire des informations utiles qui pourraient être utilisées pour tenter de compromettre davantage le système concerné.

Quelles sont les causes de la vulnérabilité ?
La vulnérabilité résulte d’un problème dans les en-têtes ATL qui pourraient permettre la lecture d’une chaîne sans octets NULL de fin. Un attaquant peut manipuler cette chaîne pour lire des données supplémentaires au-delà de la fin de la chaîne et donc divulguer des informations en mémoire.

Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut accéder à toutes les données disponibles pour l’utilisateur connecté.

Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Si un utilisateur a un contrôle vulnérable sur son système et qu’un attaquant contourne les atténuations décrites dans l’avis de sécurité Microsoft (973882), un attaquant peut lire des informations en mémoire sur le système concerné.

Que fait la mise à jour ?
La mise à jour résout la vulnérabilité en appliquant une allocation de mémoire tampon appropriée lors de la lecture d’un flux et en fournissant des versions mises à jour d’ATL qui permettent aux développeurs de résoudre ce problème dans des contrôles potentiellement vulnérables.

Mettre à jour les informations

Outils et conseils de détection et de déploiement

Les conseils de détection et de déploiement suivants fournissent des informations sur la façon de s’assurer que les versions de Visual Studio dans ce bulletin de sécurité ont été mises à jour avec des en-têtes ATL qui répondent aux vulnérabilités décrites ci-dessus.

Gérez les mises à jour logicielles et de sécurité que vous devez déployer sur les serveurs, les ordinateurs de bureau et les systèmes mobiles de votre organisation. Pour plus d’informations, consultez le Centre TechNet Update Management Center. Le site web Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Les mises à jour de sécurité sont disponibles à partir de Microsoft Update et de Windows Update. Les mises à jour de sécurité sont également disponibles à partir du Centre de téléchargement Microsoft. Vous pouvez les trouver plus facilement en effectuant une recherche mot clé pour « mise à jour de sécurité ».

Enfin, les mises à jour de sécurité peuvent être téléchargées à partir du catalogue Microsoft Update. Le catalogue Microsoft Update fournit un catalogue pouvant faire l’objet d’une recherche de contenu mis à disposition via Windows Update et Microsoft Update, y compris les mises à jour de sécurité, les pilotes et les Service Packs. En effectuant une recherche à l’aide du numéro de bulletin de sécurité (par exemple, « MS07-036 »), vous pouvez ajouter toutes les mises à jour applicables à votre panier (y compris différentes langues pour une mise à jour) et télécharger dans le dossier de votre choix. Pour plus d’informations sur le catalogue Microsoft Update, consultez le FAQ sur le catalogue Microsoft Update.

Remarque À compter du 1er août 2009, Microsoft cessera de prendre en charge Bureau Update et l’outil d’inventaire des mises à jour Bureau. Pour continuer à obtenir les dernières mises à jour des produits Microsoft Bureau, utilisez Microsoft Update. Pour plus d’informations, consultez À propos de Microsoft Bureau Update : Forum aux questions.

Conseils de détection et de déploiement

Microsoft fournit des conseils de détection et de déploiement pour les mises à jour de sécurité. Ce guide contient des recommandations et des informations qui peuvent aider les professionnels de l’informatique à comprendre comment utiliser différents outils pour la détection et le déploiement des mises à jour de sécurité. Pour plus d’informations, consultez l’article 961747 de la Base de connaissances Microsoft.

Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (Mo SA) permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes ainsi que les configurations incorrectes de sécurité courantes. Pour plus d’informations sur Mo SA, visitez Microsoft Baseline Security Analyzer.

Le tableau suivant fournit le résumé de la détection Mo SA pour cette mise à jour de sécurité.

Logiciel	Mo SA 2.1
Microsoft Visual Studio .NET 2003 Service Pack 1	Non
Microsoft Visual Studio 2005 Service Pack 1	Oui
Outils Visual C++ hébergés microsoft Visual Studio 2005 Service Pack 1 64 bits	Oui
Microsoft Visual Studio 2008	Oui
Microsoft Visual Studio 2008 Service Pack 1	Oui
Package redistribuable Microsoft Visual C++ 2005 Service Pack 1	Oui
Package redistribuable Microsoft Visual C++ 2008	Oui
Package redistribuable Microsoft Visual C++ 2008 Service Pack 1	Oui

Pour plus d’informations sur Mo SA 2.1, consultez Mo SA 2.1 Forum aux questions.

Windows Server Update Services

À l’aide de Windows Server Update Services (WSUS), les administrateurs peuvent déployer les dernières mises à jour critiques et mises à jour de sécurité pour les systèmes d’exploitation Windows 2000 et versions ultérieures, Bureau XP et versions ultérieures, Exchange Server 2003 et SQL Server 2000. Pour plus d’informations sur le déploiement de cette mise à jour de sécurité à l’aide de Windows Server Update Services, visitez le site web windows Server Update Services.

Serveur d’administration des systèmes

Le tableau suivant fournit le résumé de la détection et du déploiement SMS pour cette mise à jour de sécurité.

Logiciel	SMS 2.0	SMS 2003 avec SUSFP	SMS 2003 avec ITMU	Configuration Manager 2007
Microsoft Visual Studio .NET 2003 Service Pack 1	Oui	Oui	No	Non
Microsoft Visual Studio 2005 Service Pack 1	Non	Non	Oui	Oui
Outils Visual C++ hébergés microsoft Visual Studio 2005 Service Pack 1 64 bits	Non	Non	Oui	Oui
Microsoft Visual Studio 2008	Non	Non	Oui	Oui
Microsoft Visual Studio 2008 Service Pack 1	Non	Non	Oui	Oui
Package redistribuable Microsoft Visual C++ 2005 Service Pack 1	Non	Non	Oui	Oui
Package redistribuable Microsoft Visual C++ 2008	Non	Non	Oui	Oui
Package redistribuable Microsoft Visual C++ 2008 Service Pack 1	Non	Non	Oui	Oui

Pour SMS 2.0 et SMS 2003, le pack de fonctionnalités SMS SUS (SUSFP), qui inclut l’outil d’inventaire des mises à jour de sécurité (SUIT), peut être utilisé par SMS pour détecter les mises à jour de sécurité. Consultez également Téléchargements pour Systems Management Server 2.0.

Pour SMS 2003, l’outil d’inventaire SMS 2003 pour Microsoft Mises à jour (ITMU) peut être utilisé par SMS pour détecter les mises à jour de sécurité proposées par Microsoft Update et prises en charge par Windows Server Update Services. Pour plus d’informations sur l’ITMU SMS 2003, consultez l’outil d’inventaire SMS 2003 pour Microsoft Mises à jour. SMS 2003 peut également utiliser l’outil Microsoft Bureau Inventory pour détecter les mises à jour requises pour microsoft application Office lications. Pour plus d’informations sur l’outil d’inventaire Bureau et d’autres outils d’analyse, consultez SMS 2003 Software Update Scan Tools. Voir aussi Téléchargements pour Systems Management Server 2003.

System Center Configuration Manager 2007 utilise WSUS 3.0 pour la détection des mises à jour. Pour plus d’informations sur Configuration Manager 2007 Software Update Management, visitez System Center Configuration Manager 2007.

Pour plus d’informations sur SMS, visitez le site web SMS.

Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 910723 : Liste récapitulative des articles sur la détection et le déploiement mensuels.

Mettre à jour l’évaluateur de compatibilité et les Shared Computer Toolkit de compatibilité des applications

Mises à jour souvent écrire dans les mêmes fichiers et paramètres de Registre requis pour que vos applications s’exécutent. Cela peut déclencher des incompatibilités et augmenter le temps nécessaire pour déployer des mises à jour de sécurité. Vous pouvez simplifier le test et la validation des mises à jour Windows sur les applications installées avec les composants de l’évaluateur de compatibilité des mises à jour incluses dans le Shared Computer Toolkit de compatibilité des applications Shared Computer Toolkit 5.0.

Le Shared Computer Toolkit de compatibilité des applications (ACT) contient les outils et la documentation nécessaires pour évaluer et atténuer les problèmes de compatibilité des applications avant de déployer Microsoft Windows Vista, une mise à jour de sécurité Microsoft, une mise à jour de sécurité Microsoft ou une nouvelle version de Windows Internet Explorer dans votre environnement.

Déploiement des mises à jour de sécurité

Logiciel affecté

Pour plus d’informations sur la mise à jour de sécurité spécifique pour votre logiciel concerné, cliquez sur le lien approprié :

Microsoft Visual Studio .NET 2003 Service Pack 1

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel. Vous trouverez des informations supplémentaires dans la sous-section, Informations de déploiement, dans cette section.

Inclusion dans les Service Packs futurs	Visual Studio .NET 2003 Service Pack 2
Déploiement
Installation sans intervention de l’utilisateur	VS7.1sp1-Ko 971089-X86 /q
Installation sans redémarrage	VS7.1sp1-Ko 971089-X86 /norestart
Mettre à jour le fichier journal	VS7.1SP1-Ko 971089-X86-intl-msi.0.log\ VS7.1SP1-Ko 971089-X86-intl-wrapper.log
Informations supplémentaires	Pour la détection et le déploiement, consultez la section précédente, Outils et conseils de détection et de déploiement.
Configuration requise pour le redémarrage
Redémarrer obligatoire ?	Dans certains cas, cette mise à jour ne nécessite pas de redémarrage. Si les fichiers requis sont utilisés, cette mise à jour nécessite un redémarrage. Si ce comportement se produit, un message s’affiche qui vous conseille de redémarrer.
Mise à jour corrective à chaud	Non applicable
Informations de suppression	Utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration.
Informations sur le fichier	Consultez l’article 971089 de la Base de connaissances Microsoft
Vérification de la clé de Registre	HKEY_LOCAL_MACHINE\Software\Microsoft\Mises à jour\Visual Studio\7.1\M971089\ « Installé » = dword :1

Informations de déploiement

Installation de la mise à jour

Cette mise à jour de sécurité nécessite que Windows Installer 3.1 ou version ultérieure soit installé sur le système.

Pour installer la version 3.1 ou ultérieure de Windows Installer, visitez l’un des sites Web Microsoft suivants :

Cette mise à jour de sécurité prend en charge les commutateurs d’installation suivants.

Switch	Description
/? ou /h ou /help	Boîte de dialogue Afficher l’utilisation.
Mode d’installation
/q[n	b	r	f]	Définit le niveau de l’interface utilisateur\ n - Aucune interface utilisateur\ b - Interface utilisateur de base\ r - Interface utilisateur réduite\ f - Interface utilisateur complète
/quiet	Identique à /q
/passive	Identique à /qb
Options d’installation
/extract [directory]	Extrayez le package dans le répertoire spécifié.
/uninstall ou /u	Désinstallez cette mise à jour.
/addsource ou /as	Spécifie le chemin d’accès source du produit msi. Cette option peut être utilisée lors de l’installation de la mise à jour entraîne l’insertion du support source d’installation pour le produit. Par exemple :\ <update exécutable> /addsource « C :\Product MSI\Visual Studio\enu\vs_setup.msi » /addsource « C :\Product MSI\Net\Netfx.msi »
Options de redémarrage
/norestart	Ne redémarrez pas une fois l’installation terminée
/promptrestart	Invite l’utilisateur à redémarrer si nécessaire
/forcerestart	Redémarrez l’ordinateur après l’installation si nécessaire (par exemple, si un fichier est verrouillé ou utilisé)
Options de journalisation
/l[i	w	e	a	r	u	c	m	o	p	v	x	+	!	*] <LogFile>	i - Messages d’état\ w - Avertissements non irrécupérables\ e - Tous les messages d’erreur\ a - Démarrage d’actions\ r - Enregistrements spécifiques à l’action\ u - Demandes utilisateur\ c - Paramètres d’interface utilisateur initial\ m - Informations de sortie insuffisante ou irrécupérables\ o - Messages d’espace disque sortant\ p - Propriétés du terminal\ v - Sortie détaillée\ x - Informations de débogage supplémentaires\ - Ajouter au fichier journal existant\ ! - Vider chaque ligne dans le journal\ * - Journaliser toutes les informations, à l’exception des options v et x
/log <LogFile>	Équivalent de /l* <LogFile>
/sendreport	Envoyez des données d’installation pour cette mise à jour à Microsoft en tant que rapport Watson. Aucune information d’identification personnelle n’est envoyée.

Notez que vous pouvez combiner ces commutateurs en une seule commande. Pour la compatibilité descendante, la mise à jour de sécurité prend également en charge la plupart des commutateurs d’installation que la version antérieure du programme d’installation utilise. Pour plus d’informations sur les commutateurs d’installation pris en charge, consultez cet article Microsoft MSDN.

Suppression de la mise à jour

Pour supprimer cette mise à jour de sécurité, utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration.

Vérification de l’application de la mise à jour

Microsoft Baseline Security Analyzer
Pour vérifier qu’une mise à jour de sécurité a été appliquée à un système affecté, vous pouvez utiliser l’outil Microsoft Baseline Security Analyzer (Mo SA). Pour plus d’informations, consultez la section Outils et outils de déploiement et conseils de détection et de déploiement, plus haut dans ce bulletin.
Vérification de version de fichier
Notez qu’il existe plusieurs versions et éditions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre système. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.
1. Cliquez sur Démarrer, puis sur Rechercher.
2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.
3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.
4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.
  Notez que , selon l’édition du système d’exploitation ou les programmes installés sur votre système, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.
5. Sous l’onglet Version , déterminez la version du fichier installé sur votre système en la comparant à la version documentée dans la table d’informations de fichier appropriée.
  Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier que la mise à jour a été appliquée. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.

Microsoft Visual Studio 2005 Service Pack 1

Tableau de référence

Inclusion dans les Service Packs futurs	La mise à jour de ce problème sera incluse dans Visual Studio 2005 Service Pack 2
Déploiement
Installation sans intervention de l’utilisateur	Pour Microsoft Visual Studio 2005 Service Pack 1 (Ko 971090)\ VS80sp1-Ko 971090-X86-intl /qn\ \ pour Microsoft Visual Studio 2005 Service Pack 1 (Ko 973673)\VS80sp1-Ko 973673-X86-intl /qn\ \ For Microsoft Visual Studio 2005 Service Pack 1 64 bits Hosted Visual C++ Tools (Ko 973830) :\ VS80sp1-Ko 973830-ia64-intl /qn
Installation sans redémarrage	Pour Microsoft Visual Studio 2005 Service Pack 1 (Ko 971090) : \ VS80sp1-Ko 971090-X86-intl /norestart\ \ Pour Microsoft Visual Studio 2005 Service Pack 1 (Ko 973673) :\ VS80sp1-Ko 973673-X86-intl /norestart\ \ For Microsoft Visual Studio 2005 Service Pack 1 64 bits Hosted Visual C++ Tools (Ko 973830) :\ VS80sp1-Ko 973830-ia64-intl /norestart
Mettre à jour le fichier journal	Non applicable
Informations supplémentaires	Pour la détection et le déploiement, consultez la section précédente, Outils et conseils de détection et de déploiement.\ \ Pour les fonctionnalités que vous pouvez installer de manière sélective, see the Bureau Features for Administration istrative Installations sous-section de cette section.
Configuration requise pour le redémarrage
Redémarrer obligatoire ?	Dans certains cas, cette mise à jour ne nécessite pas de redémarrage. Si les fichiers requis sont utilisés, cette mise à jour nécessite un redémarrage. Si ce comportement se produit, un message s’affiche qui vous conseille de redémarrer.
Mise à jour corrective à chaud	Non applicable
Informations de suppression	Utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration.
Informations sur le fichier	Pour Microsoft Visual Studio 2005 Service Pack 1 (Ko 971090)\ Consultez l’article de la Base de connaissances Microsoft 971090\ \ Pour Microsoft Visual Studio 2005 Service Pack 1 (Ko 973673) :\ Voir Article de la Base de connaissances Microsoft 973673\ \ Pour Microsoft Visual Studio 2005 Service Pack 1 64 bits Hébergé Visual C++ Tools (Ko 973830)\ Consultez l’article de la Base de connaissances Microsoft 973830
Vérification de la clé de Registre	Pour Microsoft Visual Studio 2005 Service Pack 1 (Ko 971090)\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mises à jour\Microsoft Visual Studio 2005 Professional Edition - ENU\Ko 971090 \ « Installed » = dword :1\ \ For Microsoft Visual Studio 2005 Service Pack 1 64 bits Hosted Visual C++ Tools (Ko 973830) :\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mises à jour\Microsoft Visual Studio 2005 Professional Edition - ENU\Ko 973830\ « Installed » = dword :1
Vérification du code de produit	Pour Microsoft Visual Studio 2005 Service Pack 1 (Ko 973673) :\ {837b34e3-7c30-493c-8f6a-2b0f04e2912c}\ \ Pour obtenir des instructions sur la vérification de l’installation à l’aide de codes de produit, consultez l’article de la Base de connaissances Microsoft 974653.

Informations de déploiement

Installation de la mise à jour

Vous pouvez installer la mise à jour à partir du lien de téléchargement approprié dans la section Logiciels affectés et non affectés. Si vous avez installé votre application à partir d’un emplacement de serveur, l’administrateur du serveur doit à la place mettre à jour l’emplacement du serveur avec la mise à jour administrative et déployer cette mise à jour sur votre système. Pour plus d’informations sur les points d’installation Administration istrative, reportez-vous aux informations du point d’installation Bureau Administration istrative dans la sous-section Outils de détection et de déploiement et conseils.

Cette mise à jour de sécurité nécessite que Windows Installer 2.0 ou version ultérieure soit installé sur le système. Toutes les versions prises en charge de Windows incluent Windows Installer 2.0 ou une version ultérieure.

Pour installer la dernière version de Windows Installer, visitez le site web Microsoft suivant :

Redistribuable Windows Installer 3.1

Pour plus d’informations sur la terminologie qui apparaît dans ce bulletin, tel que le correctif logiciel, consultez l’article de la Base de connaissances Microsoft 824684.

Cette mise à jour de sécurité prend en charge les commutateurs d’installation suivants.

Switch	Description
/? ou /h ou /help	Boîte de dialogue Afficher l’utilisation.
Mode d’installation
/q[n	b	r	f]	Définit le niveau de l’interface utilisateur\ n - Aucune interface utilisateur\ b - Interface utilisateur de base\ r - Interface utilisateur réduite\ f - Interface utilisateur complète
/quiet	Identique à /q
/passive	Identique à /qb
Options d’installation
/extract [directory]	Extrayez le package dans le répertoire spécifié.
/uninstall ou /u	Désinstallez cette mise à jour.
/addsource ou /as	Spécifie le chemin d’accès source du produit msi. Cette option peut être utilisée lors de l’installation de la mise à jour entraîne l’insertion du support source d’installation pour le produit. Par exemple :\ <update exécutable> /addsource « C :\Product MSI\Visual Studio\enu\vs_setup.msi » /addsource « C :\Product MSI\Net\Netfx.msi »
Options de redémarrage
/norestart	Ne redémarrez pas une fois l’installation terminée
/promptrestart	Invite l’utilisateur à redémarrer si nécessaire
/forcerestart	Redémarrez toujours l’ordinateur après l’installation
Options de journalisation
/l[i	w	e	a	r	u	c	m	o	p	v	x	+	!	*] <LogFile>	i - Messages d’état\ w - Avertissements non irrécupérables\ e - Tous les messages d’erreur\ a - Démarrage d’actions\ r - Enregistrements spécifiques à l’action\ u - Demandes utilisateur\ c - Paramètres d’interface utilisateur initial\ m - Informations de sortie insuffisante ou irrécupérables\ o - Messages d’espace disque sortant\ p - Propriétés du terminal\ v - Sortie détaillée\ x - Informations de débogage supplémentaires\ - Ajouter au fichier journal existant\ ! - Vider chaque ligne dans le journal\ * - Journaliser toutes les informations, à l’exception des options v et x
/log <LogFile>	Équivalent de /l* <LogFile>
/sendreport	Envoyez des données d’installation pour cette mise à jour à Microsoft en tant que rapport Watson. Aucune information d’identification personnelle n’est envoyée.

Suppression de la mise à jour

Pour supprimer cette mise à jour de sécurité, utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration.

Notez que lorsque vous supprimez cette mise à jour, vous serez peut-être invité à insérer le CD Bureau Microsoft 2007 dans le lecteur cd-ROM. En outre, vous n’avez peut-être pas la possibilité de désinstaller la mise à jour de l’outil Ajouter ou supprimer des programmes dans Panneau de configuration. Il existe plusieurs causes possibles pour ce problème. Pour plus d’informations sur la suppression, consultez l’article 903771 de la Base de connaissances Microsoft.

Vérification de l’application de la mise à jour

Microsoft Baseline Security Analyzer
Pour vérifier qu’une mise à jour de sécurité a été appliquée à un système affecté, vous pouvez utiliser l’outil Microsoft Baseline Security Analyzer (Mo SA). Consultez l’en-tête « Analyseur de sécurité de base de référence Microsoft » sous la section Outils et outils de détection et de déploiement Microsoft.
Vérification de version de fichier
Notez qu’il existe plusieurs versions et éditions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre système. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.
1. Cliquez sur Démarrer, puis sur Rechercher.
2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.
3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.
4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.
  Notez que , selon l’édition du système d’exploitation ou les programmes installés sur votre système, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.
5. Sous l’onglet Version , déterminez la version du fichier installé sur votre système en la comparant à la version documentée dans la table d’informations de fichier appropriée.
  Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier que la mise à jour a été appliquée. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.

Microsoft Visual Studio 2008 et Microsoft Visual Studio 2008 Service Pack 1

Tableau de référence

Inclusion dans les Service Packs futurs	La mise à jour de ce problème sera incluse dans Visual Studio 2008 Service Pack 2
Déploiement
Installation sans intervention de l’utilisateur	Pour Microsoft Visual Studio 2008 (Ko 971091) : \ VS90-Ko 971091-x86 /q\ \ Pour Microsoft Visual Studio 2008 (Ko 973674) : \ VS90-Ko 973674-x86 /q\ \ pour Microsoft Visual Studio 2008 Service Pack 1 (Ko 971092) :\ VS90-Ko 971092-x86 /q\ \ Pour Microsoft Visual Studio 2008 Service Pack 1 (Ko 973675) :\ VS90-Ko 973675-x86 /q
Installation sans redémarrage	Pour Microsoft Visual Studio 2008 (Ko 971091) :\ VS90-Ko 971091-x86 /norestart\ \ Pour Microsoft Visual Studio 2008 (Ko 973674) :\ VS90-Ko 973674-x86 /norestart\ \ For Microsoft Visual Studio 2008 Service Pack 1 (Ko 971092) :\ VS90-Ko 971092-x86 /norestart\ \ For Microsoft Visual Studio 2008 Service Pack 1 (Ko 973675) :\ VS90-Ko973675-x86 /norestart
Mettre à jour le fichier journal	Non applicable
Informations supplémentaires	Pour la détection et le déploiement, consultez la section précédente, Outils et conseils de détection et de déploiement.\ \ Pour les fonctionnalités que vous pouvez installer de manière sélective, see the Bureau Features for Administration istrative Installations sous-section de cette section.
Configuration requise pour le redémarrage
Redémarrer obligatoire ?	Dans certains cas, cette mise à jour ne nécessite pas de redémarrage. Si les fichiers requis sont utilisés, cette mise à jour nécessite un redémarrage. Si ce comportement se produit, un message s’affiche qui vous conseille de redémarrer.
Mise à jour corrective à chaud	Non applicable
Informations de suppression	Utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration.
Informations sur le fichier	Pour Microsoft Visual Studio 2008 (Ko 971091) :\ Consultez l’article 971091\ de la Base de connaissances Microsoft\ pour Microsoft Visual Studio 2008 (Ko 973674) :\ Voir l’article 973674\ de la Base de connaissances Microsoft \ Pour Microsoft Visual Studio 2008 Service Pack 1 (Ko 971092))\ Voir l’article de la Base de connaissances Microsoft 971092\ pour Microsoft Visual Studio 2008 Service Pack 1 (Ko 973675) :Article 973675 de la Base de connaissances Microsoft
Vérification de la clé de Registre	Pour Microsoft Visual Studio 2008 (Ko 971091) :\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mises à jour\Microsoft Visual Studio Team System 2008 Team Suite - ENU\Ko 971091\ « ThisVersionInstalled » = REG_SZ :"Y"\ \ For Microsoft Visual Studio 2008 Service Pack 1 (Ko 971092) :\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mises à jour\Microsoft Visual Studio Team System 2008 Team Suite - ENU\Ko 971092\ « ThisVersionInstalled » = REG_SZ :"Y »
Vérification du code de produit	Pour Microsoft Visual Studio 2008 (Ko 973674) :\ {E503B4BF-F7BB-3D5F-8BC8-F694B1CFF942}\ \ Pour Microsoft Visual Studio 2008 Service Pack 1 (Ko 973675) :\ {{. 1F1C2DFC-2D24-3E06-BCB8-725134ADF989}\ \ Pour obtenir des instructions sur la vérification de l’installation à l’aide de codes de produit, consultez l’article de la Base de connaissances Microsoft 974653.

Informations de déploiement

Installation de la mise à jour

Pour installer la dernière version de Windows Installer, visitez le site web Microsoft suivant :

Redistribuable Windows Installer 3.1

Pour plus d’informations sur la terminologie qui apparaît dans ce bulletin, tel que le correctif logiciel, consultez l’article de la Base de connaissances Microsoft 824684.

Cette mise à jour de sécurité prend en charge les commutateurs d’installation suivants.

Switch	Description
/? ou /h ou /help	Boîte de dialogue Afficher l’utilisation.
Mode d’installation
/q[n	b	r	f]	Définit le niveau de l’interface utilisateur\ n - Aucune interface utilisateur\ b - Interface utilisateur de base\ r - Interface utilisateur réduite\ f - Interface utilisateur complète
/quiet	Identique à /q
/passive	Identique à /qb
Options d’installation
/extract [directory]	Extrayez le package dans le répertoire spécifié.
/uninstall ou /u	Désinstallez cette mise à jour.
/addsource ou /as	Spécifie le chemin d’accès source du produit msi. Cette option peut être utilisée lors de l’installation de la mise à jour entraîne l’insertion du support source d’installation pour le produit. Par exemple :\ <update exécutable> /addsource « C :\Product MSI\Visual Studio\enu\vs_setup.msi » /addsource « C :\Product MSI\Net\Netfx.msi »
Options de redémarrage
/norestart	Ne redémarrez pas une fois l’installation terminée
/promptrestart	Invite l’utilisateur à redémarrer si nécessaire
/forcerestart	Redémarrez toujours l’ordinateur après l’installation
Options de journalisation
/l[i	w	e	a	r	u	c	m	o	p	v	x	+	!	*] <LogFile>	i - Messages d’état\ w - Avertissements non irrécupérables\ e - Tous les messages d’erreur\ a - Démarrage d’actions\ r - Enregistrements spécifiques à l’action\ u - Demandes utilisateur\ c - Paramètres d’interface utilisateur initial\ m - Informations de sortie insuffisante ou irrécupérables\ o - Messages d’espace disque sortant\ p - Propriétés du terminal\ v - Sortie détaillée\ x - Informations de débogage supplémentaires\ - Ajouter au fichier journal existant\ ! - Vider chaque ligne dans le journal\ * - Journaliser toutes les informations, à l’exception des options v et x
/log <LogFile>	Équivalent de /l* <LogFile>
/sendreport	Envoyez des données d’installation pour cette mise à jour à Microsoft en tant que rapport Watson. Aucune information d’identification personnelle n’est envoyée.

Suppression de la mise à jour

Pour supprimer cette mise à jour de sécurité, utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration.

Vérification de l’application de la mise à jour

Microsoft Baseline Security Analyzer
Pour vérifier qu’une mise à jour de sécurité a été appliquée à un système affecté, vous pouvez utiliser l’outil Microsoft Baseline Security Analyzer (Mo SA). Consultez l’en-tête « Analyseur de sécurité de base de référence Microsoft » sous la section Outils et outils de détection et de déploiement Microsoft.
Vérification de version de fichier
Notez qu’il existe plusieurs versions et éditions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre système. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.
1. Cliquez sur Démarrer, puis sur Rechercher.
2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.
3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.
4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.
  Notez que , selon l’édition du système d’exploitation ou les programmes installés sur votre système, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.
5. Sous l’onglet Version , déterminez la version du fichier installé sur votre système en la comparant à la version documentée dans la table d’informations de fichier appropriée.
  Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier que la mise à jour a été appliquée. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.

Package redistribuable Microsoft Visual C++ 2005 Service Pack 1

Tableau de référence

Inclusion dans les Service Packs futurs	La mise à jour de ce problème sera incluse dans Visual Studio 2005 Service Pack 2
Déploiement
Installation sans intervention de l’utilisateur	Pour le package redistribuable Microsoft Visual C++ 2005 Service Pack 1 (x86) :\ vcredist_x86 /q\ \ Pour Microsoft Visual C++ 2005 Service Pack 2005 Service Pack 1 Redistributable Package (x64) :\ vcredist_x64 /q\ \ Pour Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package (IA64)\ vcredist_ia64 /q
Installation sans redémarrage	Pour le package redistribuable Microsoft Visual C++ 2005 Service Pack 1 (x86) :\ vcredist_x86 /r :n\ \ Pour Microsoft Visual C++ 2005 Service Pack 2005 Service Pack 1 Redistributable Package (x64) :\ vcredist_x64 /r :n\ \ Pour Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package (IA64)\ vcredist_ia64 /r :n
Mettre à jour le fichier journal	Non applicable
Informations supplémentaires	Pour la détection et le déploiement, consultez la section précédente, outils et conseils de détection et de déploiement
Configuration requise pour le redémarrage
Redémarrer obligatoire ?	Cette mise à jour ne nécessite pas de redémarrage.
Mise à jour corrective à chaud	Non applicable
Informations de suppression	Utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration.
Informations sur le fichier	Consultez l’article de la Base de connaissances Microsoft 973544
Vérification de la clé de Registre	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DevDiv\VC\Servicing\8.0\RED\1033\ « Installed » = dword :1

Informations de déploiement

Installation de la mise à jour

Pour installer la dernière version de Windows Installer, visitez le site web Microsoft suivant :

Redistribuable Windows Installer 3.1

Pour plus d’informations sur la terminologie qui apparaît dans ce bulletin, tel que le correctif logiciel, consultez l’article de la Base de connaissances Microsoft 824684.

Cette mise à jour de sécurité prend en charge les commutateurs d’installation suivants.

Commutateur	Description
/?	Affiche les options de ligne de commande.
Modes d’installation
/q[ :u	:a]	/q - Spécifie le mode silencieux ou supprime les invites.\ /q :u - Spécifie le mode silencieux utilisateur, qui présente certaines boîtes de dialogue à l’utilisateur.\ /q :a - Spécifie le mode administrateur-silencieux, qui ne présente aucune boîte de dialogue à l’utilisateur.
Options d’installation
/C	Extrait les fichiers sans les installer. Si /t : le chemin d’accès n’est pas spécifié, vous êtes invité à entrer un dossier cible.
/T :path	Spécifie le dossier cible pour l’extraction de fichiers.
/C :path	Spécifie le chemin d’accès UNC et le nom du fichier setup .inf ou .exe.
/n :v	Aucune version case activée ing : installez le package sur n’importe quelle version précédente.
Options de redémarrage
/r :n	Ne redémarre jamais l’ordinateur après l’installation.
/r :i	Invite l’utilisateur à redémarrer l’ordinateur si un redémarrage est requis, sauf lorsqu’il est utilisé avec /q :a.
/r :a	Redémarre toujours l'ordinateur après l'installation.
/r :s	Redémarre l’ordinateur après l’installation sans inviter l’utilisateur.

Suppression de la mise à jour

Pour supprimer cette mise à jour de sécurité, utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration.

Vérification de l’application de la mise à jour

Microsoft Baseline Security Analyzer
Pour vérifier qu’une mise à jour de sécurité a été appliquée à un système affecté, vous pouvez utiliser l’outil Microsoft Baseline Security Analyzer (Mo SA). Consultez l’en-tête « Analyseur de sécurité de base de référence Microsoft » sous la section Outils et outils de détection et de déploiement Microsoft.
Vérification de version de fichier
Notez qu’il existe plusieurs versions et éditions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre système. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.
1. Cliquez sur Démarrer, puis sur Rechercher.
2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.
3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.
4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.
  Notez que , selon l’édition du système d’exploitation ou les programmes installés sur votre système, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.
5. Sous l’onglet Version , déterminez la version du fichier installé sur votre système en la comparant à la version documentée dans la table d’informations de fichier appropriée.
  Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier que la mise à jour a été appliquée. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.

Package redistribuable Microsoft Visual C++ 2008 et Package Redistribuable Microsoft Visual C++ 2008 Service Pack 1

Tableau de référence

Inclusion dans les Service Packs futurs	La mise à jour de ce problème sera incluse dans Visual Studio 2008 Service Pack 2
Déploiement
Installation sans intervention de l’utilisateur	Pour microsoft Visual C++ 2008 Redistributable Package et Microsoft Visual C++ 2008 Service Pack 1 Redistributable Package (x86) :\ vcredist_x86 /q\ \ For Microsoft Visual C++ 2008 Redistributable Package et Microsoft Visual C++ Package redistribuable Service Pack 1 2008 (x64) : \ vcredist_x64 /q\ \ Pour Microsoft Visual C++ 2008 Redistributable Package et Microsoft Visual C++ 2008 Service Pack 1 Redistributable Package (IA64) : \ vcredist_ia64 /q
Installation sans redémarrage	Pour microsoft Visual C++ 2008 Redistributable Package et Microsoft Visual C++ 2008 Service Pack 1 Redistributable Package (x86) :\ vcredist_x86 /r :n\ \ For Microsoft Visual C++ 2008 Redistributable Package et Microsoft Visual C++ 2008 Service Pack 1 Redistributable Package (x64) :\ vcredist_x64 /r :n\ \ Pour Microsoft Visual C++ 2008 Redistributable Package et Microsoft Visual C++ 2008 Service Pack 1 Redistributable Package (IA64) : \ vcredist_ia64 /r :n
Mettre à jour le fichier journal	Non applicable
Informations supplémentaires	Pour la détection et le déploiement, consultez la section précédente, outils et conseils de détection et de déploiement
Configuration requise pour le redémarrage
Redémarrer obligatoire ?	Cette mise à jour ne nécessite pas de redémarrage.
Mise à jour corrective à chaud	Non applicable
Informations de suppression	Utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration.
Informations sur le fichier	Consultez l’article 973552 de la Base de connaissances Microsoft
Vérification de la clé de Registre	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DevDiv\VC\Servicing\9.0\RED\1033\ « Installed » = dword :1

Informations de déploiement

Installation de la mise à jour

Pour installer la dernière version de Windows Installer, visitez le site web Microsoft suivant :

Redistribuable Windows Installer 3.1

Pour plus d’informations sur la terminologie qui apparaît dans ce bulletin, tel que le correctif logiciel, consultez l’article de la Base de connaissances Microsoft 824684.

Cette mise à jour de sécurité prend en charge les commutateurs d’installation suivants.

Commutateur	Description
/?	Affiche les options de ligne de commande.
Modes d’installation
/q[ :u	:a]	/q - Spécifie le mode silencieux ou supprime les invites.\ /q :u - Spécifie le mode silencieux utilisateur, qui présente certaines boîtes de dialogue à l’utilisateur.\ /q :a - Spécifie le mode administrateur-silencieux, qui ne présente aucune boîte de dialogue à l’utilisateur.
Options d’installation
/C	Extrait les fichiers sans les installer. Si /t : le chemin d’accès n’est pas spécifié, vous êtes invité à entrer un dossier cible.
/T :path	Spécifie le dossier cible pour l’extraction de fichiers.
/C :path	Spécifie le chemin d’accès UNC et le nom du fichier setup .inf ou .exe.
/n :v	Aucune version case activée ing : installez le package sur n’importe quelle version précédente.
Options de redémarrage
/r :n	Ne redémarre jamais l’ordinateur après l’installation.
/r :i	Invite l’utilisateur à redémarrer l’ordinateur si un redémarrage est requis, sauf lorsqu’il est utilisé avec /q :a.
/r :a	Redémarre toujours l'ordinateur après l'installation.
/r :s	Redémarre l’ordinateur après l’installation sans inviter l’utilisateur.

Suppression de la mise à jour

Pour supprimer cette mise à jour de sécurité, utilisez l’outil Ajouter ou supprimer des programmes dans Panneau de configuration.

Vérification de l’application de la mise à jour

Microsoft Baseline Security Analyzer
Pour vérifier qu’une mise à jour de sécurité a été appliquée à un système affecté, vous pouvez utiliser l’outil Microsoft Baseline Security Analyzer (Mo SA). Consultez l’en-tête « Analyseur de sécurité de base de référence Microsoft » sous la section Outils et outils de détection et de déploiement Microsoft.
Vérification de version de fichier
Notez qu’il existe plusieurs versions et éditions de Microsoft Windows, les étapes suivantes peuvent être différentes sur votre système. Si c’est le cas, consultez la documentation de votre produit pour effectuer ces étapes.
1. Cliquez sur Démarrer, puis sur Rechercher.
2. Dans le volet Résultats de la recherche, cliquez sur Tous les fichiers et dossiers sous Compagnon de recherche.
3. Dans la zone Tout ou partie du nom de fichier, tapez un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Rechercher.
4. Dans la liste des fichiers, cliquez avec le bouton droit sur un nom de fichier à partir de la table d’informations de fichier appropriée, puis cliquez sur Propriétés.
  Notez que , selon l’édition du système d’exploitation ou les programmes installés sur votre système, certains fichiers répertoriés dans la table d’informations de fichier peuvent ne pas être installés.
5. Sous l’onglet Version , déterminez la version du fichier installé sur votre système en la comparant à la version documentée dans la table d’informations de fichier appropriée.
  Notez que les attributs autres que la version du fichier peuvent changer pendant l’installation. La comparaison d’autres attributs de fichier aux informations de la table d’informations de fichier n’est pas une méthode prise en charge pour vérifier que la mise à jour a été appliquée. En outre, dans certains cas, les fichiers peuvent être renommés lors de l’installation. Si les informations de fichier ou de version ne sont pas présentes, utilisez l’une des autres méthodes disponibles pour vérifier l’installation de la mise à jour.

Autres informations

Remerciements

Microsoft remercie ce qui suit pour nous aider à protéger les clients :

David Dewey d’IBM ISS X-Force pour signaler la vulnérabilité d’objet non initialisée ATL (CVE-2009-0901)
Ryan Smith de VeriSign iDefense Labs pour signaler la vulnérabilité d’initialisation COM ATL (CVE-2009-2493)
Ryan Smith de VeriSign iDefense Labs pour signaler la vulnérabilité de chaîne null ATL (CVE-2009-2495)

Programme Microsoft Active Protections (MAPP)

Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites Web de protection actifs fournis par les partenaires du programme, répertoriés dans les partenaires du Programme MAPP (Microsoft Active Protections Program).

Support

Les clients aux États-Unis et au Canada peuvent recevoir un soutien technique du support technique du support de sécurité ou du 1-866-PCSAFETY. Il n’existe aucun frais pour les appels de support associés aux mises à jour de sécurité. Pour plus d’informations sur les options de support disponibles, consultez Aide et support Microsoft.
Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Il n’existe aucun frais pour la prise en charge associée aux mises à jour de sécurité. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support, visitez le site web du support international.

Exclusion de responsabilité

Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

V1.0 (28 juillet 2009) : Bulletin publié.
V1.1 (4 août 2009) : ajout de nouvelles entrées à la section, Questions fréquentes (FAQ) relatives à cette mise à jour de sécurité, pour communiquer que les problèmes connus liés à cette section de mise à jour de sécurité dans l’article de la Base de connaissances Microsoft associée 969706 ont été mises à jour et que la logique de détection de mise à jour pour Ko 973923 et Ko973924 a été révisé pour corriger un problème de re-offre de package ; et pour clarifier la différence entre les packages Redistribuables Visual C++ et les autres mises à jour visual Studio.
V2.0 (11 août 2009) : Bulletin réédité pour proposer de nouvelles mises à jour pour Microsoft Visual Studio 2005 Service Pack 1 (Ko 973673), Microsoft Visual Studio 2008 (Ko 973674) et Microsoft Visual Studio 2008 Service Pack 1 (Ko 973675), pour les développeurs qui utilisent Visual Studio pour créer des composants et des contrôles pour les applications mobiles à l’aide d’ATL pour les appareils intelligents.
V2.1 (12 août 2009) : mise à jour de la table logicielle affectée pour répertorier MS07-012 remplacée par la mise à jour pour Microsoft Visual Studio .NET 2003 Service Pack 1 ; ajout d’une nouvelle entrée à la section, Questions fréquentes (FAQ) relatives à cette mise à jour de sécurité, pour clarifier la raison pour laquelle les mises à jour du Centre de téléchargement Microsoft Ko les packages redistribuables Visual C++ diffèrent de SMS, SCCM, WSUS et MU update Ko nombres ; correction des exigences de redémarrage tout au long du bulletin ; ajout d’entrées de vérification du code produit aux tables de référence de déploiement de mise à jour pour Microsoft Visual Studio 2005 Service Pack 1, et Microsoft Visual Studio 2008 et Microsoft Visual Studio 2008 Service Pack 1 ; et a effectué des modifications diverses.
V2.2 (19 août 2009) : ajout d’un lien vers l’article de la Base de connaissances Microsoft 974653 pour fournir des instructions sur l’utilisation des codes de produit pour vérifier l’installation des mises à jour pour Microsoft Visual Studio 2005 Service Pack 1 et Microsoft Visual Studio 2008 et Microsoft Visual Studio 2008 Service Pack 1.
V2.3 (8 septembre 2009) : ajout d’une nouvelle entrée à la section, Questions fréquentes (FAQ) relatives à cette mise à jour de sécurité, pour communiquer que l’article de la Base de connaissances Microsoft 969706 a été révisé pour modifier le problème connu Ko 974223 à Ko 974479, afin d’offrir une mise à jour non de sécurité pour résoudre le problème.
V3.0 (12 janvier 2010) : réécrit ce bulletin pour ajouter Windows Embedded CE 6.0 aux logiciels affectés. La nouvelle mise à jour pour Windows Embedded CE 6.0 (Ko 974616) est disponible uniquement à partir du Centre de téléchargement Microsoft. Les clients qui utilisent la plateforme Windows Embedded CE 6.0 doivent envisager d’appliquer la mise à jour. Aucun autre package de mise à jour n’est affecté par cette réécriture.

Construit à 2014-04-18T13 :49 :36Z-07 :00

Partager via

Bulletin de sécurité Microsoft MS09-035 - Modéré

Les vulnérabilités dans la bibliothèque de modèles active Visual Studio peuvent autoriser l’exécution de code à distance (969706)

Informations générales

Résumé

Logiciels affectés et non affectés

Questions fréquentes (FAQ) relatives à cette mise à jour de sécurité

Informations sur la vulnérabilité

Évaluations de gravité et identificateurs de vulnérabilité

Vulnérabilité de l’objet non initialisé ATL - CVE-2009-0901

Atténuation des facteurs de vulnérabilité d’objet non initialisé ATL - CVE-2009-0901

Solutions de contournement pour la vulnérabilité d’objet non initialisé ATL - CVE-2009-0901

FAQ sur la vulnérabilité d’objet non initialisé ATL - CVE-2009-0901

Vulnérabilité d’initialisation COM ATL - CVE-2009-2493

Atténuation des facteurs d’initialisation ATL COM - CVE-2009-2493

Solutions de contournement pour la vulnérabilité d’initialisation COM ATL - CVE-2009-2493

FAQ sur la vulnérabilité d’initialisation COM ATL - CVE-2009-2493

Vulnérabilité de chaîne NULL ATL - CVE-2009-2495

Atténuation des facteurs de vulnérabilité de chaîne null ATL - CVE-2009-2495

Solutions de contournement pour la vulnérabilité de chaîne null ATL - CVE-2009-2495

FAQ sur la vulnérabilité de chaîne null ATL - CVE-2009-2495

Mettre à jour les informations

Outils et conseils de détection et de déploiement

Déploiement des mises à jour de sécurité

Microsoft Visual Studio .NET 2003 Service Pack 1

Informations de déploiement

Microsoft Visual Studio 2005 Service Pack 1

Informations de déploiement

Microsoft Visual Studio 2008 et Microsoft Visual Studio 2008 Service Pack 1

Informations de déploiement

Package redistribuable Microsoft Visual C++ 2005 Service Pack 1

Informations de déploiement

Package redistribuable Microsoft Visual C++ 2008 et Package Redistribuable Microsoft Visual C++ 2008 Service Pack 1

Informations de déploiement

Autres informations

Remerciements

Programme Microsoft Active Protections (MAPP)

Support

Exclusion de responsabilité

Révisions

Ressources supplémentaires