Bulletin de sécurité Microsoft MS13-026 - Important

Une vulnérabilité dans Microsoft Office pour Mac pourrait permettre la divulgation d'informations (2813682)

Paru le: mardi 12 mars 2013 | Mis(e) à jour: vendredi 15 mars 2013

Version: 1.1

Informations générales

Synthèse

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Office pour Mac. Cette vulnérabilité pourrait permettre la divulgation d'informations si un utilisateur ouvrait un message électronique spécialement conçu.

Cette mise à jour de sécurité est de niveau « important » pour Microsoft Office pour Mac 2008 et Microsoft Office pour Mac 2011. Pour plus d'informations, consultez la sous-section « Logiciels concernés et non concernés » plus loin dans ce Bulletin.

Cette mise à jour de sécurité corrige la vulnérabilité en garantissant que Microsoft Office pour Mac ne télécharge pas de contenu à partir de sources externes sans le consentement de l'utilisateur. Pour obtenir plus d'informations sur la vulnérabilité, consultez la sous-section « Forum aux questions » spécifique à chaque vulnérabilité, dans la section « Informations par vulnérabilité ».

Recommandation. Microsoft recommande à ses clients d'installer cette mise à jour dès que possible.

Consultez également la section « Outils de détection, de déploiement et Conseils » dans ce même Bulletin.

Article de la Base de connaissances

Article de la Base de connaissances 2813682
Informations sur les fichiers Aucun
Mots de passe hachés SHA1/SHA2 Oui
Problèmes connus Aucun

Logiciels concernés et non concernés

Microsoft a testé les logiciels suivants afin de déterminer quelles versions ou éditions sont concernées. Toute autre version ou édition a soit atteint la fin de son cycle de vie ou bien n'est pas affectée. Consultez le site Web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Logiciels concernés

Logiciels Impact de sécurité maximal Indice de gravité cumulée Mises à jour remplacées
Microsoft Office pour Mac
[Microsoft Office 2008 pour Mac](http://www.microsoft.com/downloads/details.aspx?familyid=d7aef20a-922b-4495-b473-1afa4a7ac514) (2817449) Divulgation d'informations Important 2764048 dans le Bulletin [MS12-076](http://go.microsoft.com/fwlink/?linkid=260964)
[Microsoft Office pour Mac 2011](http://www.microsoft.com/downloads/details.aspx?familyid=4960674b-1cb4-499a-999e-7aa4d4c49e5e) (2817452) Divulgation d'informations Important 2764047 dans le Bulletin [MS12-076](http://go.microsoft.com/fwlink/?linkid=260964)
Forum aux questions concernant les mises à jour -----------------------------------------------

J'utilise une version antérieure du logiciel décrit dans ce Bulletin de sécurité. Que dois-je faire?
Microsoft a testé les logiciels répertoriés dans ce Bulletin afin de déterminer quelles versions sont concernées. Les autres versions ont atteint la fin de leurs cycles de vie. Pour plus d'informations sur le cycle de vie des produits, visitez le site Web Politique de Support Microsoft.

Les clients qui utilisent une version antérieure de ces logiciels doivent prioritairement passer à une version en cours de support, afin de prévenir leur exposition potentielle aux vulnérabilités. Consultez le site Web Politique de Support Microsoft afin de connaître les modalités de support de la version de votre logiciel. Pour plus d'informations à propos des Service Packs pour ces versions logicielles, consultez la page Politique de support relative aux Service Packs.

Les clients nécessitant un support supplémentaire pour des logiciels plus anciens doivent prendre contact avec leur responsable de compte Microsoft, leur responsable technique de compte ou le partenaire Microsoft approprié pour connaître les options de support personnalisé. Les clients ne bénéficiant pas d'un Contrat Alliance, Premier ou Authorized peuvent appeler leur agence commerciale locale Microsoft. Pour obtenir des informations de contact, visitez le site Web Microsoft Worldwide Information, sélectionnez le pays dans la liste Informations de contact, puis cliquez sur Go pour afficher une liste de numéros de téléphone. Lorsque vous appelez, demandez à parler au directeur commercial local de Support Premier. Pour plus d'informations, consultez le Forum aux questions sur la politique de support Microsoft.

Informations par vulnérabilité

Indices de gravité et identificateurs de vulnérabilité

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité de mars. Pour plus d'informations, consultez l'Indice d'exploitabilité Microsoft.

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné
Logiciels concernés Vulnérabilité liée au chargement non souhaité de contenu - CVE-2013-0095 Indice de gravité cumulée
Microsoft Office pour Mac
Microsoft Office 2008 pour Mac **Important **Divulgation d'informations **Important**
Microsoft Office pour Mac 2011 **Important **Divulgation d'informations **Important**

Vulnérabilité liée au chargement non souhaité de contenu - CVE-2013-0095

Il existe une vulnérabilité de divulgation d'informations dans la façon dont Microsoft Entourage pour Mac et Microsoft Outlook pour Mac chargent des balises de contenu spécifiques dans un message électronique HTML5.

Pour afficher cette vulnérabilité en tant qu'entrée standard dans la liste « Common Vulnerabilities and Exposures », consultez la référence CVE-2013-0095.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Forum aux questions

Quelle est la portée de cette vulnérabilité?
Il s'agit d'une vulnérabilité de divulgation d'informations.

Quelle est la cause de cette vulnérabilité?
Cette vulnérabilité survient lorsqu'un utilisateur prévisualise ou ouvre un message électronique au format HTML spécialement conçu et que Microsoft Outlook pour Mac ou Microsoft Entourage pour Mac autorise le chargement de contenu provenant d'un serveur distant sans intervention de l'utilisateur.

Que pourrait faire un attaquant en exploitant cette vulnérabilité?
Un attaquant pourrait identifier le fait qu'un message électronique spécialement conçu envoyé par ses soins a été affiché dans un éditeur de messages HTML. Cela pourrait permettre à l'attaquant de confirmer que le compte de messagerie électronique ciblé est valide et que le message électronique spécialement conçu a été lu.

Comment un attaquant pourrait-il exploiter cette vulnérabilité?
Pour exploiter cette vulnérabilité, un attaquant pourrait envoyer à l'utilisateur un message électronique au format HTML spécialement conçu contenant des balises de contenu HTML5. Cette vulnérabilité pourrait être exploitée lorsque l'utilisateur prévisualise ou ouvre le message électronique.

Quels sont les systèmes les plus exposés à cette vulnérabilité?
Les systèmes qui exécutent une version affectée de Microsoft Outlook pour Mac ou de Microsoft Entourage pour Mac et sur lesquels est installé un navigateur WebKit sont les plus exposés.

Qu'est-ce que WebKit **? **WebKit est un moteur de disposition à code source libre utilisé par d'autres navigateurs, tels qu'Apple Safari, pour afficher des pages Web.

Que fait cette mise à jour?
Cette mise à jour corrige la vulnérabilité en garantissant que Microsoft Outlook pour Mac et Microsoft Entourage pour Mac ne téléchargent pas de contenu à partir de sources externes sans le consentement de l'utilisateur.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été révélée publiquement?
Non. Microsoft a été informé de cette vulnérabilité par une divulgation de vulnérabilité coordonnée.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité?
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Informations concernant la mise à jour

Outils de détection, de déploiement et Conseils

Pour les clients de Microsoft Office pour Mac, Microsoft AutoUpdate pour Mac peut vous aider à maintenir à jour votre logiciel Microsoft. Pour plus d'informations à propos de l'utilisation de Microsoft AutoUpdate pour Mac, consultez la Vérification automatique des mises à jour logicielles.

Déploiement de la mise à jour de sécurité

Logiciels concernés

Pour obtenir des informations sur la mise à jour de sécurité spécifique aux Logiciels concernés, cliquez sur le lien approprié :

Office 2008 pour Mac

Conditions requises

  • Mac OS X version 10.4.9 ou ultérieure sur un processeur Intel, PowerPC G5 ou PowerPC G4 (500 MHz ou plus performant)
  • Les comptes utilisateur Mac OS X doivent être dotés de privilèges d'administrateur pour pouvoir installer cette mise à jour de sécurité.

Installation de la mise à jour

Téléchargez et installez la version linguistique appropriée de la mise à jour 12.3.6 Microsoft Office 2008 pour Mac sur le Centre de téléchargement Microsoft.

  1. Quittez toutes les applications en cours, y compris les applications anti-virus, toutes les applications Microsoft Office, Microsoft Messenger pour Mac et les notifications Office, parce qu'elles pourraient interférer avec l'installation.
  2. Ouvrez le volume Mise à jour 12.3.6 Microsoft Office 2008 pour Mac sur votre bureau. Cette étape peut avoir déjà été effectuée à votre place.
  3. Pour démarrer le processus de mise à jour, dans la fenêtre du volume Mise à jour 12.3.6 Microsoft Office 2008 pour Mac , double-cliquez sur l'application Mise à jour 12.3.6 Microsoft Office 2008 pour Mac et suivez les instructions à l'écran.
  4. Si l'installation réussit, vous pouvez supprimer le programme d'installation de mise à jour de votre disque dur. Pour vérifier que l'installation a réussi, consultez la sous-section « Vérification de l'installation de la mise à jour ». Pour supprimer le programme d'installation de mise à jour, faites d'abord glisser le volume Mise à jour 12.3.6 Microsoft Office 2008 pour Mac vers la Corbeille, puis faites de même avec le fichier téléchargé.

Vérification de l'installation de la mise à jour

Pour vérifier qu'une mise à jour de sécurité est installée sur un système affecté, veuillez appliquer la procédure suivante :

  1. Dans l'outil Finder, accédez au dossier d'application (Microsoft Office 2008 : Office).
  2. Sélectionnez le fichier Microsoft Component Plugin.
  3. Dans le menu Fichier, cliquez sur Propriétés ou Afficher infos.

Si le numéro de version est 12.3.6, la mise à jour a été installée avec succès.

Nécessité de redémarrer

Cette mise à jour ne nécessite pas le redémarrage de l'ordinateur.

Suppression de la mise à jour

Cette mise à jour de sécurité ne peut pas être désinstallée.

Informations complémentaires

Si vous avez des questions d'ordre technique ou si vous rencontrez des difficultés pour télécharger ou utiliser cette mise à jour, consultez le Support Microsoft pour Mac afin d'en savoir plus sur les options de support à votre disposition.

Office pour Mac 2011

Conditions requises

  • Mac OS X version 10.5.8 ou ultérieure sur un processeur Intel
  • Les comptes utilisateur Mac OS X doivent être dotés de privilèges d'administrateur pour pouvoir installer cette mise à jour de sécurité.

Installation de la mise à jour

Téléchargez et installez la version linguistique appropriée de la mise à jour 14.3.2 Microsoft Office pour Mac 2011 sur le Centre de téléchargement Microsoft.

  1. Quittez toutes les applications en cours, y compris les applications anti-virus et toutes les applications Microsoft Office car elles pourraient interférer avec l'installation.
  2. Ouvrez le volume Mise à jour 14.3.2 Microsoft Office pour Mac 2011 sur votre bureau. Cette étape peut avoir déjà été effectuée à votre place.
  3. Pour démarrer le processus de mise à jour, dans la fenêtre du volume Mise à jour 14.3.2 Microsoft Office pour Mac 2011, double-cliquez sur l'application Mise à jour 14.3.2 Microsoft Office pour Mac 2011 et suivez les instructions à l'écran.
  4. Lorsque l'installation est terminée, vous pouvez supprimer le programme d'installation de mise à jour de votre disque dur. Pour vérifier que l'installation a réussi, consultez la sous-section « Vérification de l'installation de la mise à jour ». Pour supprimer le programme d'installation de mise à jour, faites d'abord glisser le volume Mise à jour 14.3.2Microsoft Office pour Mac 2011 vers la Corbeille, puis faites de même avec le fichier téléchargé.

Vérification de l'installation de la mise à jour

Pour vérifier qu'une mise à jour de sécurité est installée sur un système affecté, veuillez appliquer la procédure suivante :

  1. Dans l'outil Finder, accédez au dossier d'application (Microsoft Office 2011).
  2. Sélectionnez Word, Excel, PowerPoint ou Outlook et lancez l'application.
  3. Dans le menu Application, cliquez sur à propos de Nom_Application (où Nom_Application est remplacé par Word, Excel, PowerPoint ou Outlook).

Si le numéro de la dernière version de mise à jour installée est 14.3.2, la mise à jour a été installée avec succès.

Nécessité de redémarrer

Cette mise à jour ne nécessite pas le redémarrage de l'ordinateur.

Suppression de la mise à jour

Cette mise à jour de sécurité ne peut pas être désinstallée.

Informations complémentaires

Si vous avez des questions d'ordre technique ou si vous rencontrez des difficultés pour télécharger ou utiliser cette mise à jour, consultez le Support Microsoft pour Mac afin d'en savoir plus sur les options de support à votre disposition.

Autres informations

Remerciements

Microsoft remercie les organismes ci-dessous pour avoir contribué à la protection de ses clients :

  • Nick Semenkovich pour avoir signalé la vulnérabilité liée au chargement non souhaité de contenu (CVE-2013-0095).

Microsoft Active Protections Program (MAPP)

Pour améliorer la protection de ses clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ainsi utiliser ces informations pour fournir des protections mises à jour à leurs clients via leurs logiciels ou périphériques de sécurité, tels que les antivirus et les systèmes de détection ou de prévention d'intrusion basés sur le réseau ou sur les hôtes. Pour déterminer si des protections actives sont disponibles, visitez les sites Web des partenaires fournisseurs de logiciels de sécurité, répertoriés sur la page Microsoft Active Protections Program (MAPP) Partners (en anglais).

Support technique

Comment obtenir de l'aide concernant cette mise à jour de sécurité

Dédit de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (12 mars 2013) : Bulletin publié.
  • V1.1 (15 mars 2013) : Correction du titre du Bulletin et clarification des noms des versions affectées dans la section « Précisions sur la vulnérabilité » et dans les entrées du Forum aux questions concernant la vulnérabilité.

Built at 2014-04-18T01:50:00Z-07:00