Bulletin de sécurité Microsoft MS14-080 - Critique
Mise à jour de sécurité cumulative pour Internet Explorer (3008923)
Publication : 9 décembre 2014 | Mise à jour : 14 avril 2015
Version : 3.0
Résumé
Cette mise à jour de sécurité résout quatorze vulnérabilités signalées en privé dans Internet Explorer. La plus grave de ces vulnérabilités peut permettre l’exécution de code à distance si un utilisateur consulte une page web spécialement conçue à l’aide d’Internet Explorer. Un attaquant qui a réussi à exploiter ces vulnérabilités pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. Les clients dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système peuvent être moins affectés que ceux qui opèrent avec des droits d’utilisateur administratifs.
Cette mise à jour de sécurité est évaluée critique pour Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) et Internet Explorer 11 (IE 11) sur les clients Windows affectés, et Modéré pour Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) et Internet Explorer 11 (IE 11) sur les serveurs Windows affectés. Pour plus d’informations, consultez la section Logiciels affectés.
La mise à jour de sécurité résout les vulnérabilités en modifiant la façon dont Internet Explorer gère les objets en mémoire, en empêchant le filtre XSS dans Internet Explorer de désactiver incorrectement les attributs HTML, en aidant à garantir que les versions affectées d’Internet Explorer implémentent correctement la fonctionnalité de sécurité ASLR et en modifiant la façon dont le moteur de script VBScript gère les objets en mémoire. Pour plus d’informations sur les vulnérabilités, consultez la section Informations sur les vulnérabilités.
Pour plus d’informations sur cette mise à jour, consultez l’article de la Base de connaissances Microsoft 3008923.
Logiciel affecté
Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.
Logiciel affecté
| Système d’exploitation | Composant | Impact maximal sur la sécurité | Évaluation de gravité agrégée | Mises à jour remplacé |
|---|---|---|---|---|
| Internet Explorer 6 | ||||
| Windows Server 2003 Service Pack 2 | Internet Explorer 6 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Windows Server 2003 x64 Edition Service Pack 2 | Internet Explorer 6 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Windows Server 2003 avec SP2 pour les systèmes Itanium | Internet Explorer 6 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Internet Explorer 7 | ||||
| Windows Server 2003 Service Pack 2 | Internet Explorer 7 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Windows Server 2003 x64 Edition Service Pack 2 | Internet Explorer 7 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Windows Server 2003 avec SP2 pour les systèmes Itanium | Internet Explorer 7 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Windows Vista Service Pack 2 | Internet Explorer 7 (3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
| Windows Vista x64 Edition Service Pack 2 | Internet Explorer 7 (3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Internet Explorer 7 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 | Internet Explorer 7 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Windows Server 2008 pour les systèmes Itanium Service Pack 2 | Internet Explorer 7 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Internet Explorer 8 | ||||
| Windows Server 2003 Service Pack 2 | Internet Explorer 8 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Windows Server 2003 x64 Edition Service Pack 2 | Internet Explorer 8 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Windows Vista Service Pack 2 | Internet Explorer 8 (3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
| Windows Vista x64 Edition Service Pack 2 | Internet Explorer 8 (3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Internet Explorer 8 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 | Internet Explorer 8 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Windows 7 pour systèmes 32 bits Service Pack 1 | Internet Explorer 8 (3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
| Windows 7 pour systèmes x64 Service Pack 1 | Internet Explorer 8 (3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Internet Explorer 8 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 | Internet Explorer 8 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Internet Explorer 9 | ||||
| Windows Vista Service Pack 2 | Internet Explorer 9 (3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
| Windows Vista x64 Edition Service Pack 2 | Internet Explorer 9 (3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Internet Explorer 9 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 | Internet Explorer 9 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Windows 7 pour systèmes 32 bits Service Pack 1 | Internet Explorer 9 (3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
| Windows 7 pour systèmes x64 Service Pack 1 | Internet Explorer 9 (3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Internet Explorer 9 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Internet Explorer 10 | ||||
| Windows 7 pour systèmes 32 bits Service Pack 1 | Internet Explorer 10 (3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
| Windows 7 pour systèmes x64 Service Pack 1 | Internet Explorer 10 (3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Internet Explorer 10 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Windows 8 pour les systèmes 32 bits | Internet Explorer 10 (3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
| Windows 8 pour les systèmes 32 bits | Internet Explorer 10 (3029449)[1] | Exécution de code à distance | Critique | Aucun |
| Windows 8 pour systèmes x64 | Internet Explorer 10 (3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
| Windows 8 pour systèmes x64 | Internet Explorer 10 (3029449)[1] | Exécution de code à distance | Critique | Aucun |
| Windows Server 2012 | Internet Explorer 10 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Windows Server 2012 | Internet Explorer 10 (3029449)[1] | Exécution de code à distance | Modéré | Aucun |
| Windows RT | Internet Explorer 10[2](3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
| Windows RT | Internet Explorer 10[2](3029449)[1] | Exécution de code à distance | Critique | Aucun |
| Internet Explorer 11 | ||||
| Windows 7 pour systèmes 32 bits Service Pack 1 | Internet Explorer 11 (3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
| Windows 7 pour systèmes x64 Service Pack 1 | Internet Explorer 11 (3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Internet Explorer 11 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Windows 8.1 pour les systèmes 32 bits | Internet Explorer 11 (3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
| Windows 8.1 pour les systèmes x64 | Internet Explorer 11 (3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
| Windows Server 2012 R2 | Internet Explorer 11 (3008923) | Exécution de code à distance | Modéré | 3003057 dans MS14-065 |
| Windows RT 8.1 | Internet Explorer 11[2](3008923) | Exécution de code à distance | Critique | 3003057 dans MS14-065 |
[1]Les clients exécutant Internet Explorer 10 sur Windows 8, Windows Server 2012 ou Windows RT doivent installer les mises à jour (3008923 et 3029449).
[2]Cette mise à jour est disponible via Windows Update.
Remarque Pour les systèmes exécutant Internet Explorer 9 ou version ultérieure, CVE-2014-6363 est traité par cette mise à jour (3008923). Pour toutes les autres versions affectées d’Internet Explorer, CVE-2014-6363 est traitée par la mise à jour décrite dans MS14-084. Pour plus d’informations, consultez le FORUM aux questions sur la mise à jour.
Notez que Windows Technical Preview et Windows Server Technical Preview sont affectés. Les clients exécutant ces systèmes d’exploitation sont encouragés à appliquer la mise à jour, disponible via Windows Update.
Faq sur la mise à jour
Pour traiter CVE-2014-6363, quelle mise à jour s’applique à mon système ?
CVE-2014-6363 est une vulnérabilité dans le moteur de script VBScript. Bien que le vecteur d’attaque soit via Internet Explorer, cette vulnérabilité est traitée par cette mise à jour (3008923) uniquement pour les systèmes exécutant Internet Explorer 9, Internet Explorer 10 et Internet Explorer 11. Pour Internet Explorer 8 et versions antérieures et pour les systèmes sans Internet Explorer installé, cette vulnérabilité est traitée par la mise à jour décrite dans MS14-084.
La mise à jour qui traite CVE-2014-6363 dépend de la version du moteur de script VBScript installée sur votre système. Pour plus d’informations sur la mise à jour, consultez le tableau suivant.
| Version | MS14-084 | MS14-080 |
|---|---|---|
| VBScript 5.6\ (Internet Explorer 6) | VBScript 5.6 \ (3012168) | Non applicable |
| VBScript 5.7\ (Internet Explorer 6 et Internet Explorer 7) | VBScript 5.7 \ (3012172) | Non applicable |
| VBScript 5.8\ (Internet Explorer 8) | VBScript 5.8 \ (3012176) | Non applicable |
| VBScript 5.8\ (Internet Explorer 9) | Non applicable | Internet Explorer 9 \ (3008923) |
| VBScript 5.8\ (Internet Explorer 10) | Non applicable | Internet Explorer 10 \ (3008923) |
| VBScript 5.8\ (Internet Explorer 11) | Non applicable | Internet Explorer 11 \ (3008923) |
Évaluations de gravité et identificateurs de vulnérabilité
Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de décembre.
Dans le tableau suivant, les valeurs Critiques, Importantes et Modérées indiquent les évaluations de gravité. Pour plus d’informations, consultez Le système d’évaluation de gravité du bulletin de sécurité. Lorsqu’elle est spécifiée, les abréviations comme indiqué dans la clé suivante indiquent l’impact maximal :
| Abréviation | Impact maximal |
|---|---|
| RCE | Exécution de code à distance |
| Eop | Élévation de privilège |
| id | Divulgation d’informations |
| SFB | Contournement des fonctionnalités de sécurité |
Notations de gravité et impact
| Numéro CVE | Titre de la vulnérabilité | Internet Explorer 6 | Internet Explorer 7 | Internet Explorer 8 | Internet Explorer 9 | Internet Explorer 10 | Internet Explorer 11 |
|---|---|---|---|---|---|---|---|
| CVE-2014-6327 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Non applicable | Non applicable | Non applicable | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE |
| CVE-2014-6328 | Vulnérabilité de contournement du filtre XSS d’Internet Explorer | Non applicable | Non applicable | Clients Windows :\ Important / SFB\ \ Serveurs Windows :\ Faible / SFB | Clients Windows :\ Important / SFB\ \ Serveurs Windows :\ Faible / SFB | Clients Windows :\ Important / SFB\ \ Serveurs Windows :\ Faible / SFB | Clients Windows :\ Important / SFB\ \ Serveurs Windows :\ Faible / SFB |
| CVE-2014-6329 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Non applicable | Non applicable | Non applicable | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE |
| CVE-2014-6330 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Non applicable | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE | Non applicable | Non applicable |
| CVE-2014-6363 | Vulnérabilité d’altération de la mémoire VBScript | Non applicable | Non applicable | Non applicable | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE |
| CVE-2014-6365 | Vulnérabilité de contournement du filtre XSS d’Internet Explorer | Non applicable | Non applicable | Clients Windows :\ Important / SFB\ \ Serveurs Windows :\ Faible / SFB | Clients Windows :\ Important / SFB\ \ Serveurs Windows :\ Faible / SFB | Clients Windows :\ Important / SFB\ \ Serveurs Windows :\ Faible / SFB | Clients Windows :\ Important / SFB\ \ Serveurs Windows :\ Faible / SFB |
| CVE-2014-6366 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE | Non applicable | Non applicable | Non applicable | Non applicable |
| CVE-2014-6368 | Vulnérabilité de contournement d’Internet Explorer ASLR | Non applicable | Non applicable | Non applicable | Non applicable | Non applicable | Clients Windows :\ Important / SFB\ \ Serveurs Windows :\ Faible / SFB |
| CVE-2014-6369 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Non applicable | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE |
| CVE-2014-6373 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Non applicable | Non applicable | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE | Non applicable |
| Numéro CVE | Titre de la vulnérabilité | Internet Explorer 6 | Internet Explorer 7 | Internet Explorer 8 | Internet Explorer 9 | Internet Explorer 10 | Internet Explorer 11 |
| CVE-2014-6374 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE |
| CVE-2014-6375 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE | Non applicable | Non applicable | Non applicable |
| CVE-2014-6376 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Non applicable | Non applicable | Non applicable | Non applicable | Non applicable | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE |
| CVE-2014-8966 | Vulnérabilité d’altération de la mémoire d’Internet Explorer | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE | Clients Windows :\ Critique / RCE\ \ Serveurs Windows :\ Modéré / RCE | Non applicable | Non applicable | Non applicable |
Informations sur la vulnérabilité
Vulnérabilités d’altération de la mémoire multiples dans Internet Explorer
Des vulnérabilités d’exécution de code à distance existent quand Internet Explorer accède incorrectement aux objets en mémoire. Ces vulnérabilités peuvent endommager la mémoire de telle sorte qu’un attaquant puisse exécuter du code arbitraire dans le contexte de l’utilisateur actuel. La mise à jour résout les vulnérabilités en modifiant la façon dont Internet Explorer gère les objets en mémoire.
Un attaquant peut héberger un site web spécialement conçu pour exploiter ces vulnérabilités via Internet Explorer, puis convaincre un utilisateur d’afficher le site web. L’attaquant peut également tirer parti des sites web et sites web compromis qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur en ajoutant du contenu spécialement conçu qui pourrait exploiter ces vulnérabilités. Dans tous les cas, toutefois, un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant devra convaincre les utilisateurs de prendre des mesures, généralement en les obtenant pour cliquer sur un lien dans un message électronique ou dans un message Instantané Messenger qui amène les utilisateurs sur le site web de l’attaquant, ou en les obtenant pour ouvrir une pièce jointe envoyée par e-mail.
Un attaquant qui a réussi à exploiter ces vulnérabilités pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. Si l’utilisateur actuel est connecté avec des droits d’utilisateur administratifs, un attaquant qui a réussi à exploiter ces vulnérabilités peut prendre le contrôle complet d’un système affecté. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. Les systèmes dans lesquels Internet Explorer est utilisé fréquemment, tels que les stations de travail ou les serveurs terminal, sont les plus exposés à ces vulnérabilités.
La mise à jour résout les vulnérabilités en modifiant la façon dont Internet Explorer gère les objets en mémoire.
Le tableau suivant contient des liens vers l’entrée standard pour chaque vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :
| Titre de la vulnérabilité | Numéro CVE | Divulgation publique | Exploités |
|---|---|---|---|
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2014-6327 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2014-6329 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2014-6330 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2014-6366 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2014-6369 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2014-6373 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2014-6374 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2014-6375 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2014-6376 | Non | Non |
| Vulnérabilité d’altération de la mémoire d’Internet Explorer | CVE-2014-8966 | Non | Non |
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour ces vulnérabilités.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour ces vulnérabilités.
FAQ
J’exécute Internet Explorer sur Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 ou Windows Server 2012 R2. Cela atténue-t-il ces vulnérabilités ?
Oui. Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 et Windows Server 2012 R2 s’exécute en mode restreint appelé Configuration de sécurité renforcée. La configuration de sécurité améliorée est un groupe de paramètres préconfigurés dans Internet Explorer qui peuvent réduire la probabilité qu’un utilisateur ou un administrateur télécharge et exécute du contenu web spécialement conçu sur un serveur. Il s’agit d’un facteur d’atténuation pour les sites web que vous n’avez pas ajoutés à la zone sites approuvés Internet Explorer.
EMET permet-il d’atténuer les attaques susceptibles d’exploiter ces vulnérabilités ?
Oui. L’expérience d’atténuation améliorée Shared Computer Toolkit (EMET) permet aux utilisateurs de gérer les technologies d’atténuation de la sécurité qui permettent aux attaquants d’exploiter les vulnérabilités dans un logiciel donné. EMET permet d’atténuer ces vulnérabilités dans Internet Explorer sur les systèmes où EMET est installé et configuré pour fonctionner avec Internet Explorer.
Pour plus d’informations sur EMET, consultez L’expérience d’atténuation améliorée Shared Computer Toolkit.
Vulnérabilités de contournement de filtre XSS multiples dans Internet Explorer
Les vulnérabilités de contournement du filtre XSS existent de la façon dont Internet Explorer désactive un attribut HTML dans les données de réponse HTTP correctement filtrées. Les vulnérabilités peuvent permettre aux scripts initialement désactivés de s’exécuter dans le contexte de sécurité incorrect, ce qui entraîne la divulgation d’informations.
Un attaquant peut publier sur un site web un contenu spécialement conçu pour exploiter cette vulnérabilité. L’attaquant aurait alors à convaincre l’utilisateur d’afficher le contenu sur le site web concerné. Si l’utilisateur accède ensuite au site web, le filtre XSS désactive les attributs HTML dans le contenu spécialement conçu, créant une condition qui pourrait permettre à un script malveillant de s’exécuter dans le contexte de sécurité incorrect, ce qui entraîne la divulgation d’informations.
Un attaquant qui a réussi à exploiter cette vulnérabilité peut entraîner l’exécution du code de script sur le système d’un autre utilisateur sous la forme d’un site web tiers. Ce code de script s’exécuterait à l’intérieur du navigateur lors de la visite du site web tiers et pourrait prendre des mesures sur le système de l’utilisateur que le site web tiers a été autorisé à entreprendre. La vulnérabilité ne peut être exploitée que si l’utilisateur a cliqué sur un lien hypertexte, soit dans un e-mail HTML, soit si l’utilisateur a visité le site web d’un attaquant ou un site web contenant du contenu sous le contrôle de l’attaquant. Tous les systèmes où Internet Explorer est utilisé fréquemment, tels que les stations de travail et les serveurs terminal, sont les plus exposés à cette vulnérabilité.
La mise à jour résout la vulnérabilité en empêchant le filtre XSS dans Internet Explorer de désactiver incorrectement les attributs HTML.
Le tableau suivant contient des liens vers l’entrée standard pour chaque vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :
| Titre de la vulnérabilité | Numéro CVE | Divulgation publique | Exploités |
|---|---|---|---|
| Vulnérabilité de contournement du filtre XSS d’Internet Explorer | CVE-2014-6328 | Non | Non |
| Vulnérabilité de contournement du filtre XSS d’Internet Explorer | CVE-2014-6365 | Non | Non |
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour ces vulnérabilités.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour ces vulnérabilités.
Vulnérabilité de contournement d’Internet Explorer ASLR - CVE-2014-6368
Une vulnérabilité de contournement des fonctionnalités de sécurité existe quand Internet Explorer n’utilise pas la fonctionnalité de sécurité ASLR (Address Space Layout Randomization), ce qui permet à un attaquant de prédire de manière plus fiable les décalages de mémoire d’instructions spécifiques dans une pile d’appels donnée. Un attaquant qui a réussi à exploiter cette vulnérabilité peut contourner la fonctionnalité de sécurité ASLR (Address Space Layout Randomization), qui permet de protéger les utilisateurs contre une large classe de vulnérabilités. La fonctionnalité de sécurité contourne elle-même n’autorise pas l’exécution arbitraire du code. Toutefois, un attaquant peut utiliser cette vulnérabilité de contournement ASLR conjointement avec une autre vulnérabilité, telle qu’une vulnérabilité d’exécution de code à distance, qui pourrait tirer parti du contournement ASLR pour exécuter du code arbitraire. Par exemple, une vulnérabilité d’exécution de code à distance bloquée par ASLR peut être exploitée après un contournement ASLR réussi.
Dans un scénario de navigation web, l’exploitation réussie de cette vulnérabilité nécessite qu’un utilisateur soit connecté et exécute une version affectée d’Internet Explorer. Par conséquent, tous les systèmes où un navigateur web est utilisé fréquemment, tels que les stations de travail ou les serveurs terminal, sont à risque de cette vulnérabilité. Les serveurs peuvent être plus risqués si les administrateurs autorisent les utilisateurs à parcourir et lire les e-mails sur les serveurs. Toutefois, les meilleures pratiques découragent fortement cette autorisation.
La mise à jour résout la vulnérabilité en aidant à garantir que les versions affectées d’Internet Explorer implémentent correctement la fonctionnalité de sécurité ASLR.
Le tableau suivant contient des liens vers l’entrée standard pour chaque vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :
| Titre de la vulnérabilité | Numéro CVE | Divulgation publique | Exploités |
|---|---|---|---|
| Vulnérabilité de contournement d’Internet Explorer ASLR | CVE-2014-6368 | Non | Non |
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Vulnérabilité d’altération de la mémoire VBScript - CVE-2014-6363
Une vulnérabilité d’exécution de code à distance existe de la façon dont le moteur VBScript , lorsqu’il est rendu dans Internet Explorer, gère les objets en mémoire. La vulnérabilité peut endommager la mémoire de telle sorte qu’un attaquant puisse exécuter du code arbitraire dans le contexte de l’utilisateur actuel.
Un attaquant peut héberger un site web spécialement conçu pour exploiter cette vulnérabilité via Internet Explorer, puis convaincre un utilisateur d’afficher le site web. Un attaquant peut également incorporer un contrôle ActiveX marqué comme « sécurisé pour l’initialisation » dans une application ou un document Microsoft Bureau qui héberge le moteur de rendu Internet Explorer. L’attaquant peut également tirer parti des sites web et sites web compromis qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur en ajoutant du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité. Dans tous les cas, toutefois, un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant doit convaincre les utilisateurs de prendre des mesures, généralement en les obtenant pour cliquer sur un lien dans un message électronique ou dans un message Instantané Messenger qui amène les utilisateurs sur le site web de l’attaquant, ou en ouvrant une pièce jointe envoyée par e-mail.
Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d’utilisateur que l’utilisateur actuel. Si l’utilisateur actuel est connecté avec des droits d’utilisateur administratifs, un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet d’un système affecté. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. Les systèmes sur lesquels Internet Explorer est utilisé fréquemment, tels que les stations de travail ou les serveurs terminal, sont les plus exposés à cette vulnérabilité.
La mise à jour résout la vulnérabilité en modifiant la façon dont le moteur de script VBScript gère les objets en mémoire.
Le tableau suivant contient des liens vers l’entrée standard pour chaque vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :
| Titre de la vulnérabilité | Numéro CVE | Divulgation publique | Exploités |
|---|---|---|---|
| Vulnérabilité d’altération de la mémoire VBScript | CVE-2014-6363 | Non | Non |
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
FAQ
**J’exécute Internet Explorer pour Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 ou Windows Server 2012 R2. Cela atténue-t-il cette vulnérabilité ?
**Oui. Par défaut, Internet Explorer sur Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 et Windows Server 2012 R2 s’exécute en mode restreint appelé Configuration de sécurité renforcée. La configuration de sécurité améliorée est un groupe de paramètres préconfigurés dans Internet Explorer qui peuvent réduire la probabilité qu’un utilisateur ou un administrateur télécharge et exécute du contenu web spécialement conçu sur un serveur. Il s’agit d’un facteur d’atténuation pour les sites web que vous n’avez pas ajoutés à la zone sites approuvés Internet Explorer.
Déploiement des mises à jour de sécurité
Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.
Remerciements
Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (9 décembre 2014) : Bulletin publié.
- V2.0 (13 janvier 2015) : Pour résoudre les problèmes liés à la mise à jour de sécurité 3008923, Microsoft a re-publié MS14-080 pour traiter de manière complète CVE-2014-6363. Outre l’installation des 3008923 de mise à jour, les clients exécutant Internet Explorer 10 sur Windows 8, Windows Server 2012 ou Windows RT doivent également installer la mise à jour 3029449, qui a été ajoutée avec cette réversion. Les clients qui ont déjà installé la mise à jour 3008923, qui n’a pas changé depuis sa version d’origine, n’ont pas besoin de le réinstaller. Pour plus d’informations, consultez l’article de la Base de connaissances Microsoft 3008923 .
- V3.0 (14 avril 2015) : Pour résoudre de manière complète les problèmes liés à la mise à jour de sécurité 3008923, les clients exécutant Internet Explorer 11 sur Windows 7 ou Windows Server 2008 R2 doivent également installer la mise à jour de sécurité 3038314 publiée le 14 avril 2015. Pour plus d’informations, consultez MS15-032 ou utilisez les liens suivants du Centre de téléchargement Microsoft pour votre configuration spécifique :
Page générée 2015-04-09 15 :17Z-07 :00.