Synthèse des Bulletins de sécurité Microsoft de janvier 2017

Date de publication : 10 janvier 2017

Version : 1.1

Ce Bulletin de synthèse décrit les publications de Bulletins de sécurité pour janvier 2017.

Pour plus d'informations sur la procédure pour recevoir des notifications automatiques lors de la publication des Bulletins de sécurité Microsoft, consultez la page Service de notification de sécurité de Microsoft.

Microsoft fournit également des informations afin d'aider ses clients à évaluer la priorité d'installation des mises à jour de sécurité mensuelles et des mises à jour non relatives à la sécurité, publiées le même jour. Consultez la section Autres informations.

Remarque : Aucun correctif de sécurité ni amélioration de qualité prévus le mardi en janvier 2017. Il n'y a donc pas de mise à jour qualité de sécurité ni de mise à jour qualité cumulative mensuelle ce mois-ci.

Pour rappel, le guide des mises à jour de sécurité remplacera les bulletins de sécurité à partir de février 2017. Pour plus d'informations, consultez notre billet de blog Furthering our commitment to security updates (en anglais uniquement).

Synthèse

Le tableau suivant récapitule les Bulletins de sécurité pour le mois en cours, par ordre de gravité.

Pour plus d'informations sur les logiciels concernés, reportez-vous à la section suivante, Logiciels concernés.

Référence du Bulletin Titre du Bulletin et synthèse Indice de gravité maximal
et type de vulnérabilité
Nécessité de redémarrer Problèmes
connus
Logiciels concernés
MS17-001 Mise à jour de sécurité cumulative pour Microsoft Edge (3214288)
Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Edge. Cette vulnérabilité pourrait permettre une élévation des privilèges si un utilisateur affichait une page web spécialement conçue à l'aide de Microsoft Edge. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait obtenir des autorisations élevées sur le répertoire d'espace de noms d'un système vulnérable et obtenir des privilèges élevés.
Important
Élévation de privilèges
Nécessite un redémarrage --------- Microsoft Windows,
Microsoft Edge
MS17-002 Mise à jour de sécurité pour Microsoft Office (3214291)
Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Office. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Microsoft Office spécialement conçu. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du script arbitraire dans le contexte de l'utilisateur actuel. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d'administrateur.
Important
Exécution de code à distance
Peut nécessiter un redémarrage --------- Microsoft Office,
Services Microsoft Office et Web Apps
MS17-003 Mise à jour de sécurité pour Adobe Flash Player (3214628)
Cette mise à jour de sécurité corrige des vulnérabilités dans Adobe Flash Player sur toutes les éditions prises en charge de Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 et Windows Server 2016.
Critique
Exécution de code à distance
Nécessite un redémarrage --------- Microsoft Windows,
Adobe Flash Player
MS17-004 Mise à jour de sécurité pour le service LSASS (3216771)
Il existe une faille de sécurité de déni de service dans la manière dont le service LSASS gère les demandes d'authentification. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait provoquer un déni de service sur le service LSASS du système visé, ce qui déclencherait un redémarrage automatique de ce système. Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont le service LSASS traite les demandes d'authentification spécialement conçues.
Important
Déni de service
Nécessité de redémarrer --------- Microsoft Windows

Indice d'exploitabilité

Le tableau suivant fournit une évaluation de l'exploitabilité pour chacune des vulnérabilités corrigées ce mois-ci. Les vulnérabilités sont indiquées dans l'ordre de référence du Bulletin et de référence CVE. Seules les vulnérabilités qui ont reçu un indice de gravité « Critique » ou « Important » dans les Bulletins sont incluses.

Comment utiliser ce tableau ?

Utilisez ce tableau afin d'évaluer le risque de voir exploiter la vulnérabilité d'exécution de code à distance et de déni de service dans les 30 jours suivant la publication d'un Bulletin, pour chacune des mises à jour de sécurité que vous pourriez installer. Consultez les évaluations ci-dessous, conformément à votre configuration spécifique, afin d'établir l'ordre de priorité de vos déploiements pour les mises à jour publiées ce mois-ci. Pour obtenir plus d'informations concernant ces indices et comment ils sont déterminés, consultez l'Indice d'exploitabilité Microsoft.

Dans les colonnes ci-dessous, l'expression « dernière version logicielle » renvoie au logiciel en question et l'expression « versions logicielles antérieures », à toutes les versions plus anciennes prises en charge du logiciel en question, telles qu'elles apparaissent dans les tableaux « Logiciels concernés » et « Logiciels non concernés » du Bulletin.

Référence CVE

Titre de la vulnérabilité

Évaluation d'exploitabilité pour
la dernière version logicielle

Évaluation d'exploitabilité pour
les versions logicielles antérieures

Évaluation d'exploitabilité
de déni de service

MS17-001 : Mise à jour de sécurité cumulative pour Microsoft Edge (3214288)

CVE-2017-0002

Vulnérabilité d'élévation de privilèges dans Microsoft Edge

1 - Exploitation plus probable

4 - Non affecté

Non applicable

MS17-002 : Mise à jour de sécurité pour Microsoft Office (3214291)

CVE-2017-0003

Vulnérabilité de divulgation d'informations dans GDI

1 - Exploitation plus probable

4 - Non affecté

Non applicable

MS17-003 : Mise à jour de sécurité pour Adobe Flash Player (3214628)

APSB17-02

Voir le Bulletin de sécurité Adobe APSB17-02 pour les indices de gravité par vulnérabilité et de priorité de la mise à jour.

Non applicable

MS17-004 Mise à jour de sécurité pour le service LSASS (3216771)

CVE-2017-0004

Vulnérabilité de déni de service pour le service LSASS

3 - Exploitation peu probable

3 - Exploitation peu probable

Permanente

Logiciels concernés

Les tableaux suivants indiquent les Bulletins par gravité et selon la catégorie principale de logiciel.

Ces tableaux vous informent sur les mises à jour de sécurité que vous devez peut-être installer. Examinez chaque programme ou composant logiciel de cette liste pour déterminer si des mises à jour de sécurité concernent votre installation. Si un logiciel ou un composant est répertorié, l'indice de gravité de la mise à jour pour ce logiciel est également répertorié.

Remarque Il se peut que vous deviez installer plusieurs mises à jour de sécurité pour une seule vulnérabilité. Consultez toute la colonne de chaque référence du Bulletin pour vous assurer des mises à jour que vous devez installer, en fonction des programmes ou composants installés sur votre système.

Systèmes d'exploitation Windows et composants

Windows Vista

Référence du Bulletin

MS17-001

MS17-003

MS17-004

Indice de gravité cumulée

Aucune

Aucune

Important

Windows Vista Service Pack 2

Non applicable

Non applicable

Windows Vista Service Pack 2
(3216775)
(Important)

Windows Vista Édition x64 Service Pack 2

Non applicable

Non applicable

Windows Vista Édition x64 Service Pack 2
(3216775)
(Important)

Windows Server 2008

Référence du Bulletin

MS17-001

MS17-003

MS17-004

Indice de gravité cumulée

Aucune

Aucune

Important

Windows Server 2008 pour systèmes 32 bits Service Pack 2

Non applicable

Non applicable

Windows Server 2008 pour systèmes 32 bits Service Pack 2
(3216775)
(Important)

Windows Server 2008 pour systèmes x64 Service Pack 2

Non applicable

Non applicable

Windows Server 2008 pour systèmes x64 Service Pack 2
(3216775)
(Important)

Windows Server 2008 pour systèmes Itanium Service Pack 2

Non applicable

Non applicable

Windows Server 2008 pour systèmes Itanium Service Pack 2
(3216775)
(Important)

Windows 7

Référence du Bulletin

MS17-001

MS17-003

MS17-004

Indice de gravité cumulée

Aucune

Aucune

Important

Windows 7 pour systèmes 32 bits Service Pack 1
Sécurité uniquement

Non applicable

Non applicable

Windows 7 pour systèmes 32 bits Service Pack 1
(3212642)
(Important)

Windows 7 pour systèmes x64 Service Pack 1
Mise à jour cumulative mensuelle

Non applicable

Non applicable

Windows 7 pour systèmes x64 Service Pack 1
(3212646)
(Important)

Windows 7 pour systèmes 32 bits Service Pack 1
Sécurité uniquement

Non applicable

Non applicable

Windows 7 pour systèmes 32 bits Service Pack 1
(3212642)
(Important)

Windows 7 pour systèmes x64 Service Pack 1
Mise à jour cumulative mensuelle

Non applicable

Non applicable

Windows 7 pour systèmes x64 Service Pack 1
(3212646)
(Important)

Windows Server 2008 R2

Référence du Bulletin

MS17-001

MS17-003

MS17-004

Indice de gravité cumulée

Aucune

Aucune

Important

Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Sécurité uniquement

Non applicable

Non applicable

Windows Server 2008 R2 pour systèmes x64 Service Pack
(3212642)
(Important)

Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Mise à jour cumulative mensuelle

Non applicable

Non applicable

Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(3212646)
(Important)

Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
Sécurité uniquement

Non applicable

Non applicable

Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
(3212642)
(Important)

Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
Mise à jour cumulative mensuelle

Non applicable

Non applicable

Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
(3212646)
(Important)

Windows 8.1

Référence du Bulletin

MS17-001

MS17-003

MS17-004

Indice de gravité cumulée

Aucune

Critique

Aucune

Windows 8.1 pour systèmes 32 bits
Sécurité uniquement

Non applicable

Adobe Flash Player
(3214628)
(Critique)

Non applicable

Windows 8.1 pour systèmes 32 bits
Mise à jour cumulative mensuelle

Non applicable

Non applicable

Non applicable

Windows 8.1 pour systèmes x64
Sécurité uniquement

Non applicable

Adobe Flash Player
(3214628)
(Critique)

Non applicable

Windows 8.1 pour systèmes x64
Mise à jour cumulative mensuelle

Non applicable

Non applicable

Non applicable

Windows Server 2012 et Windows Server 2012 R2

Référence du Bulletin

MS17-001

MS17-003

MS17-004

Indice de gravité cumulée

Aucune

Modéré

Aucun

Windows Server 2012
Sécurité uniquement

Non applicable

Adobe Flash Player
(3214628)
(Modéré)

Non applicable

Windows Server 2012
Mise à jour cumulative mensuelle

Non applicable

Non applicable

Non applicable

Windows Server 2012 R2
Sécurité uniquement

Non applicable

Adobe Flash Player
(3214628)
(Modéré)

Non applicable

Windows Server 2012 R2
Mise à jour cumulative mensuelle

Non applicable

Non applicable

Non applicable

Windows RT 8.1

Référence du Bulletin

MS17-001

MS17-003

MS17-004

Indice de gravité cumulée

Aucune

Critique

Aucune

Windows RT 8.1
Mise à jour cumulative mensuelle

Non applicable

Adobe Flash Player
(3214628)
(Critique)

Non applicable

Windows 10

Référence du Bulletin

MS17-001

MS17-003

MS17-004

Indice de gravité cumulée

Important

Critique

Aucune

Windows 10 pour systèmes 32 bits

Microsoft Edge
(3210720)
(Critique)

Adobe Flash Player
(3214628)
(Critique)

Non applicable

Windows 10 pour systèmes x64

Microsoft Edge
(3210720)
(Critique)

Adobe Flash Player
(3214628)
(Critique)

Non applicable

Windows 10 version 1511 pour systèmes 32 bits

Microsoft Edge
(3210721)
(Critique)

Adobe Flash Player
(3214628)
(Critique)

Non applicable

Windows 10 version 1511 pour systèmes x64

Microsoft Edge
(3210721)
(Critique)

Adobe Flash Player
(3214628)
(Critique)

Non applicable

Windows 10 version 1607 pour systèmes 32 bits

Microsoft Edge
(3211320)
(Critique)

Adobe Flash Player
(3214628)
(Critique)

Non applicable

Windows 10 version 1607 pour systèmes x64

Microsoft Edge
(3211320)
(Critique)

Adobe Flash Player
(3214628)
(Critique)

Non applicable

Windows Server 2016

Référence du Bulletin

MS17-001

MS17-003

MS17-004

Indice de gravité cumulée

Modéré

Critique

Aucune

Windows Server 2016 pour systèmes x64

Microsoft Edge
(3211320)
(Modéré)

Adobe Flash Player
(3214628)
(Critique)

Non applicable

Option d'installation Server Core

Référence du Bulletin

MS17-001

MS17-003

MS17-004

Indice de gravité cumulée

Modéré

Aucun

Important

Windows Server 2008 pour systèmes 32 bits Service Pack 2
(installation Server Core)

Non applicable

Non applicable

Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
(3216775)
(Important)

Windows Server 2008 pour systèmes x64 Service Pack 2
(installation Server Core)

Non applicable

Non applicable

Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)
(3216775)
(Important)

Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(installation Server Core)
Sécurité uniquement

Non applicable

Non applicable

Windows Server 2008 R2 pour systèmes x64 Service Pack (installation Server Core)
(3212642)
(Important)

Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
Mise à jour cumulative mensuelle

Non applicable

Non applicable

Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
(3212646)
(Important)

Windows Server 2012
(installation Server Core)
Sécurité uniquement

Non applicable

Non applicable

Non applicable

Windows Server 2012
(installation Server Core)
Mise à jour cumulative mensuelle

Non applicable

Non applicable

Non applicable

Windows Server 2012 R2
(installation Server Core)
Sécurité uniquement

Non applicable

Non applicable

Non applicable

Windows Server 2012 R2
(installation Server Core)
Mise à jour cumulative mensuelle

Non applicable

Non applicable

Non applicable

Suites et logiciels Microsoft Office

Microsoft Office 2016

Référence du Bulletin

MS17-002

Indice de gravité cumulée

Important

Microsoft Office 2016 (édition 32 bits)

Microsoft Word 2016 (édition 32 bits)
(3128057)
(Important)

Microsoft Office 2016 (édition 64 bits)

Microsoft Word 2016 (édition 64 bits)
(3128057)
(Important)

Services Microsoft Office et Microsoft Office Web Apps

Services Microsoft Office et Microsoft Office Web Apps Services Microsoft Office et Microsoft Office Web Apps
Référence du Bulletin MS17-002
Indice de gravité cumulée Important
Microsoft SharePoint Enterprise Server 2016 Édition 64 bits Microsoft SharePoint Foundation 2016 Édition 64 bits
(3141486)
(Important)

Outils de détection, de déploiement et conseils

Plusieurs ressources sont disponibles pour aider les administrateurs à déployer des mises à jour de sécurité.

Microsoft Baseline Security Analyzer (MBSA) permet aux administrateurs de rechercher les mises à jour manquantes et les erreurs de configuration de sécurité courantes sur les systèmes locaux et distants.

Windows Server Update Services (WSUS), Systems Management Server (SMS) et System Center Configuration Manager aident les administrateurs à distribuer les mises à jour de sécurité.

Les composants d'évaluation de la compatibilité des mises à jour (Update Compatibility Evaluator) inclus avec les outils d'analyse de compatibilité des applications (Application Compatibility Toolkit) contribuent à rationaliser le test et la validation des mises à jour Windows en fonction des applications installées.

Pour obtenir des informations sur ces ressources et d'autres outils disponibles, consultez la page Outils de sécurité.

Remerciements

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation responsable des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations.

Autres informations

Outil de suppression de logiciels malveillants Microsoft Windows

Pour la publication de Bulletins qui survient le deuxième mardi de chaque mois, Microsoft a publié une version mise à jour de l'Outil de suppression de logiciels malveillants de Microsoft Windows sur Windows Update, Microsoft Update, Windows Server Update Services et le Centre de téléchargement. Aucune version mise à jour de l'Outil de suppression de logiciels malveillants de Microsoft Windows n'est disponible pour les Bulletins de sécurité publiés hors cycle.

Mises à jour non relatives à la sécurité sur Microsoft Update, Windows Update et WSUS

Pour des informations sur les mises à jour non relatives à la sécurité publiées sur Windows Update et Microsoft Update, consultez :

Microsoft Active Protections Program (MAPP)

Pour améliorer la protection de ses clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ainsi utiliser ces informations pour fournir des protections mises à jour à leurs clients via leurs logiciels ou périphériques de sécurité, tels que les antivirus et les systèmes de détection ou de prévention d'intrusion basés sur le réseau ou sur les hôtes. Pour déterminer si des protections actives sont disponibles, visitez les sites web des partenaires fournisseurs de logiciels de sécurité, répertoriés sur la page Microsoft Active Protections Program (MAPP) Partners (en anglais).

Stratégies de sécurité et communauté

Stratégies de gestion des mises à jour

Les pages sur les processus de gestion des mises à jour fournissent des informations sur les recommandations de Microsoft lors de l'installation des mises à jour de sécurité.

Pour obtenir d'autres mises à jour de sécurité

Les mises à jour relatives à d'autres problèmes de sécurité sont disponibles aux endroits suivants :

  • Les mises à jour de sécurité sont disponibles dans le Centre de téléchargement Microsoft. La méthode la plus simple est celle qui consiste à effectuer une recherche sur le mot-clé « security update ».
  • Les mises à jour pour les plateformes grand public sont disponibles sur le site web Microsoft Update.
  • Vous pouvez obtenir les mises à jour de sécurité proposées ce mois-ci sur Windows Update dans la section du Centre de téléchargement Microsoft relative à l'image ISO des mises à jour critiques et de sécurité. Pour plus d'informations, consultez l'article 913086 de la Base de connaissances Microsoft.

Communauté sécurité pour les informaticiens professionnels

Apprenez à améliorer votre sécurité et à optimiser votre infrastructure informatique, et participez, avec d'autres informaticiens professionnels, à des discussions sur les sujets de sécurité, sur le site web IT Pro Security Community (en anglais).

Support

Microsoft a testé les logiciels répertoriés afin de déterminer les versions concernées. Les autres versions ont atteint la fin de leur cycle de vie. Consultez le site web Politique de support Microsoft afin de connaître les modalités de support de votre version de logiciel.

Solutions de sécurité pour les professionnels de l'informatique : Résolution des problèmes de sécurité et support TechNet

Protégez votre ordinateur Windows des virus et des logiciels malveillants : Aide et Support pour les problèmes de virus et de sécurité

Support local selon votre pays : Support international

Dédit de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation des responsabilités pour les dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas être applicable.

Révisions

  • V1.0 (10 janvier 2017) : Synthèse des Bulletins de sécurité publiée.
  • V1.1 (January 10, 2017): Bulletin Summary revised to change the severity of CVE-2017-0003 to Important. This is an informational change only.

Page générée le 06/01/2017 14:39-08:00.