Bulletin de sécurité Microsoft MS13-045 - Important

Une vulnérabilité dans Windows Essentials pourrait permettre la divulgation d'informations (2813707)

Paru le: mardi 14 mai 2013 | Mis(e) à jour: mercredi 15 mai 2013

Version: 1.1

Informations générales

Synthèse

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Windows Essentials. Cette vulnérabilité pourrait permettre la divulgation d'informations si un utilisateur ouvrait Winows Writer à l'aide d'une URL spécialement conçue. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait remplacer les paramètres de proxy de Windows Writer et écraser les fichiers auxquels l'utilisateur a accès sur le système cible. Dans le cas d'une attaque Web, un site Web pourrait contenir un lien spécialement conçu pour exploiter cette vulnérabilité. Un attaquant devrait convaincre l'utilisateur de visiter le site Web et d'ouvrir le lien spécialement conçu.

Cette mise à jour de sécurité est de niveau « important » pour Windows Writer installé sur toutes les éditions en cours de support de Microsoft Windows. Pour plus d'informations, consultez la sous-section « Logiciels concernés et non concernés » plus loin dans ce Bulletin.

Cette mise à jour de sécurité corrige la vulnérabilité en rectifiant la façon dont Windows Writer traite les paramètres d'URL. Pour obtenir plus d'informations sur la vulnérabilité, consultez la sous-section « Forum aux questions » spécifique à chaque vulnérabilité, dans la section « Informations par vulnérabilité ».

Recommandation. Microsoft recommande à ses clients d'installer cette mise à jour dès que possible.

Consultez également la section « Outils de détection, de déploiement et Conseils » dans ce même Bulletin.

Article de la Base de connaissances

Article de la Base de connaissances 2813707
Informations sur les fichiers Oui
Mots de passe hachés SHA1/SHA2 Oui
Problèmes connus Aucun

Logiciels concernés et non concernés

Microsoft a testé les logiciels suivants afin de déterminer quelles versions ou éditions sont concernées. Toute autre version ou édition a soit atteint la fin de son cycle de vie ou bien n'est pas affectée. Consultez le site Web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Logiciels concernés

Système d'exploitation Impact de sécurité maximal Indice de gravité cumulée Mises à jour remplacées
Windows Essentials 2011[1] Divulgation d'informations Important Aucun
Windows Essentials 2012[2]
(2813707)
Divulgation d'informations Important Aucun

[1]Aucune mise à jour n'est disponible pour Windows Essentials 2011. Pour plus d'informations, consultez le Forum aux questions de la mise à jour.

[2]Cette mise à jour est disponible uniquement par téléchargement.

Forum aux questions concernant les mises à jour

Où se trouve la mise à jour pour Windows Essentials 2011 ?
Aucune mise à jour n'est disponible pour Windows Essentials 2011 étant donné que Microsoft recommande à tous les clients qui utilisent cette version de procéder à la mise à niveau vers Windows Essentials 2012. Windows Essentials 2012 est disponible à partie de la page de téléchargement de Windows Essentials.

Que puis-je faire si la mise à niveau de ma version de Windows Essentials est impossible ?
Les clients qui ne peuvent pas mettre à niveau leur version de Windows Essentials peuvent désactiver le gestionnaire Windows Writer. Pour plus d'informations sur la désactivation du gestionnaire Windows Writer, consultez la solution de contournement de la section« Vulnérabilité liée au traitement incorrect des URI dans Windows Essentials - CVE-2013-0096 ».

J'utilise une version antérieure du logiciel décrit dans ce Bulletin de sécurité. Que dois-je faire?
Microsoft a testé les logiciels répertoriés dans ce Bulletin afin de déterminer quelles versions sont concernées. Les autres versions ont atteint la fin de leurs cycles de vie. Pour plus d'informations sur le cycle de vie des produits, visitez le site Web Politique de Support Microsoft.

Les clients qui utilisent une version antérieure de ces logiciels doivent prioritairement passer à une version en cours de support, afin de prévenir leur exposition potentielle aux vulnérabilités. Consultez le site Web Politique de Support Microsoft afin de connaître les modalités de support de la version de votre logiciel. Pour plus d'informations à propos des Service Packs pour ces versions logicielles, consultez la page Politique de support relative aux Service Packs.

Les clients nécessitant un support supplémentaire pour des logiciels plus anciens doivent prendre contact avec leur responsable de compte Microsoft, leur responsable technique de compte ou le partenaire Microsoft approprié pour connaître les options de support personnalisé. Les clients ne bénéficiant pas d'un Contrat Alliance, Premier ou Authorized peuvent appeler leur agence commerciale locale Microsoft. Pour obtenir des informations de contact, visitez le site Web Microsoft Worldwide Information, sélectionnez le pays dans la liste Informations de contact, puis cliquez sur Go pour afficher une liste de numéros de téléphone. Lorsque vous appelez, demandez à parler au directeur commercial local de Support Premier. Pour plus d'informations, consultez le Forum aux questions sur la politique de support Microsoft.

Informations par vulnérabilité

Indices de gravité et identificateurs de vulnérabilité

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité de mai. Pour plus d'informations, consultez l'Indice d'exploitabilité Microsoft.

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné
Logiciels concernés Vulnérabilité liée au traitement incorrect des URI dans Windows Essentials - CVE-2013-0096 Indice de gravité cumulée
Windows Essentials 2011 Important
Divulgation d'informations
Important
Windows Essentials 2012 Important
Divulgation d'informations
Important

Vulnérabilité liée au traitement incorrect des URI dans Windows Essentials - CVE-2013-0096

Il existe une vulnérabilité de divulgation d'informations lorsque Windows Writer ne parvient pas à traiter correctement une URL spécialement conçue. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait remplacer les paramètres de proxy de Windows Writer et écraser les fichiers auxquels l'utilisateur a accès sur le système cible.

Pour afficher cette vulnérabilité en tant qu'entrée standard dans la liste « Common Vulnerabilities and Exposures », consultez la référence CVE-2013-0096.

Facteurs atténuants

Une atténuation fait référence à un paramètre, une configuration générale ou à des préférences existant dans un état par défaut qui pourraient diminuer l'impact de l'exploitation d'une vulnérabilité. Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

  • Dans le cas d'une attaque Web, l'attaquant devrait héberger un site Web et convaincre un utilisateur de cliquer sur une URL spécialement conçue afin d'exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites Web. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.

Solutions de contournement

Une solution de contournement fait référence à une modification de paramètre ou de configuration qui ne corrige pas la vulnérabilité sous-jacente mais qui pourrait contribuer à bloquer certains vecteurs d'attaque connus jusqu'à ce que la mise à jour soit appliquée. Microsoft a testé les solutions de contournement suivantes et indique le cas échéant si une solution réduit certaines fonctionnalités :

  • Appliquer la solution Fix it de Microsoft « Disable the Windows Writer », qui empêche l'exploitation de cette vulnérabilité

    Consultez l'Article 2813707 de la Base de connaissances Microsoft pour utiliser la solution automatisée Fix it de Microsoft afin d'activer ou de désactiver cette solution de contournement.

    Impact de cette solution de contournement. Les utilisateurs qui ont configuré leurs systèmes avec cette solution de contournement ne pourront pas traiter les requêtes du gestionnaire Windows Writer qui lanceraient normalement Windows Writer.

Forum aux questions

Quelle est la portée de cette vulnérabilité?
Il s'agit d'une vulnérabilité de divulgation d'informations.

Quelle est la cause de cette vulnérabilité?
Cette vulnérabilité survient lorsque Windows Writer ne parvient pas à traiter correctement des paramètres d'URL.

Qu'est-ce que Windows Essentials ?
Windows Essentials est une suite de produits disponibles via un téléchargement simple. Cette suite inclut Photo Gallery, Mail, Movie Maker, Writer, Family Safety, Bing Bar et Microsoft Silverlight.

Qu'est-ce que Windows Writer ?
Windows Writer est une application client pour Windows qui offre aux utilisateurs une façon de créer, mettre à jour et gérer le contenu d'un blog en ligne. Cette application fait partie de la suite logicielle gratuite Windows Essentials, qui inclut plusieurs applications (tel que Messenger, Mail, Photo Gallery et Movie Maker), qui exécutent des tâches courantes dans l'espace du consommateur.

Que pourrait faire un attaquant en exploitant cette vulnérabilité?
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait remplacer les paramètres de proxy de Windows Writer et écraser les fichiers auxquels l'utilisateur a accès sur le système cible.

Comment un attaquant pourrait-il exploiter cette vulnérabilité?
Pour que cette vulnérabilité puisse être exploitée, un utilisateur doit ouvrir Writer à l'aide d'une URL spécialement conçue.

Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un message électronique contenant l'URL spécialement conçue à un utilisateur et en persuadant celui-ci de cliquer sur cette URL.

Dans le cas d'une attaque Web, un attaquant devrait héberger une page Web contenant une URL spécialement conçue. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent du contenu provenant d'utilisateurs pourraient contenir un élément malveillant susceptible d'exploiter cette vulnérabilité. Un attaquant n'aurait aucun moyen d'obliger les utilisateurs à visiter un site Web malveillant. Un attaquant devrait les convaincre de visiter ce site Web, généralement en les incitant à cliquer sur un lien dans un message électronique ou un message instantané menant à son site, puis de cliquer sur l'URL spécialement conçue.

Quels sont les systèmes les plus exposés à cette vulnérabilité?
Les systèmes sur lesquels Windows Writer est installé sont exposés à cette vulnérabilité.

Que fait cette mise à jour?
Cette mise à jour corrige la vulnérabilité en rectifiant la façon dont Windows Writer traite les paramètres d'URL.

Lors de la parution de ce Bulletin de sécurité, cette vulnérabilité avait-elle été révélée publiquement?
Non. Microsoft a été informé de cette vulnérabilité par une divulgation de vulnérabilité coordonnée.

Lors de la parution de ce Bulletin de sécurité, Microsoft avait-il été informé d'une éventuelle exploitation de cette vulnérabilité?
Non. Lors de la première publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Informations concernant la mise à jour

Outils de détection, de déploiement et Conseils

Protégez votre ordinateur

Gérez les mises à jour logicielles et de sécurité que vous avez besoin de déployer vers vos serveurs, ordinateurs de bureau et ordinateurs portables dans votre organisation. Pour plus d'informations, consultez le site TechNet Update Management Center. Le site Web Espace Sécurité TechNet fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Windows Essentials 2012 est disponible à partie de la page de téléchargement de Windows Essentials.

Déploiement de la mise à jour de sécurité

Logiciels concernés

Pour obtenir des informations sur la mise à jour de sécurité spécifique aux Logiciels concernés, cliquez sur le lien approprié :

Windows Essentials 2012

Tableau de référence

Le tableau suivant contient les informations de mise à jour de sécurité concernant ce logiciel. Vous pouvez rechercher des informations supplémentaires dans la sous-section « Informations de déploiement » de cette section.

Nom de fichier de la mise à jour de sécurité Windows Essentials 2012 :
wlsetup-all.exe
Options d'installation Non concerné
Nécessité de redémarrer Cette mise à jour ne nécessite pas le redémarrage de l'ordinateur. Cependant, si les fichiers requis sont en cours d'utilisation, cette mise à jour nécessitera un redémarrage. Dans ce cas, un message s'affiche pour vous demander de redémarrer.
Informations de désinstallation Cette mise à jour ne peut pas être désinstallée.
Informations sur les fichiers Consultez l'Article 2813707 de la Base de connaissances Microsoft.
Vérification de la clé de Registre Remarque : Il n'existe aucune clé de Registre pour valider la présence de cette mise à jour.

Autres informations

Remerciements

Microsoft remercie les organismes ci-dessous pour avoir contribué à la protection de ses clients :

  • Andrea Micalizzi, en collaboration avec l'équipe SSD (SecuriTeam Secure Disclosure) de Beyond Security, pour avoir signalé la vulnérabilité liée au traitement incorrect des URI dans Windows Essentials (CVE-2013-0096).

Microsoft Active Protections Program (MAPP)

Pour améliorer la protection de ses clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ainsi utiliser ces informations pour fournir des protections mises à jour à leurs clients via leurs logiciels ou périphériques de sécurité, tels que les antivirus et les systèmes de détection ou de prévention d'intrusion basés sur le réseau ou sur les hôtes. Pour déterminer si des protections actives sont disponibles, visitez les sites Web des partenaires fournisseurs de logiciels de sécurité, répertoriés sur la page Microsoft Active Protections Program (MAPP) Partners (en anglais).

Support technique

Comment obtenir de l'aide concernant cette mise à jour de sécurité

Dédit de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (14 mai 2013) : Bulletin publié.
  • V1.1 (15 mai 2013) : Correction du lien vers l'adresse de téléchargement dans la section « Outils de détection, de déploiement et Conseils ». Il s'agit d'une modification purement informative.

Built at 2014-04-18T01:50:00Z-07:00