Bulletin de sécurité Microsoft MS15-022 - Critique

Des vulnérabilités dans Microsoft Office pourraient permettre l'exécution de code à distance (3038999)

Date de publication : 10 mars 2015 | Date de mise à jour : 26 mars 2015

Version : 1.1

Synthèse

Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Office. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Microsoft Office spécialement conçu. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait exécuter du script arbitraire dans le contexte de l'utilisateur actuel. Les clients dont les comptes sont configurés avec des privilèges moins élevés sur le système peuvent subir un impact inférieur à ceux possédant des privilèges d'administrateur.

Cette mise à jour de sécurité est de niveau « critique » pour toutes les éditions prises en charge de Microsoft Office 2007, Microsoft Office 2010 et Microsoft Office 2013. Cette mise à jour de sécurité est de niveau « important » pour les logiciels concernés suivants :

  • Microsoft Excel 2007, Microsoft PowerPoint 2007, Microsoft Word 2007
  • Microsoft Excel 2010, Microsoft PowerPoint 2007, Microsoft Word 2010
  • Microsoft Word 2013
  • Visionneuse Microsoft Word, Visionneuse Microsoft Excel, Pack de compatibilité Microsoft Office
  • Microsoft SharePoint Server 2007, Microsoft SharePoint Services 3.0, Microsoft SharePoint Server 2010, Microsoft SharePoint Foundation 2010, Word Automation Services sur Microsoft SharePoint Server 2010, Microsoft SharePoint Server 2013, Microsoft SharePoint Foundation 2013, Excel Services sur Microsoft SharePoint Server 2013
  • Microsoft Web Applications 2010, Microsoft Office Web Apps Server 2010, Microsoft Office Web Apps Server 2013, Microsoft Office Web Apps Server 2013

Pour plus d'informations, consultez la section Logiciels concernés.

Cette mise à jour de sécurité corrige les vulnérabilités en rectifiant la manière dont Microsoft Office analyse les fichiers spécialement conçus, en rectifiant la manière dont Office traite les fichiers en mémoire et en faisant en sorte que SharePoint Server nettoie correctement les entrées utilisateur. Pour plus d'informations sur les vulnérabilités, consultez la section Informations par vulnérabilité.

Pour plus d'informations sur cette mise à jour, voir l'article 3038999 de la Base de connaissances Microsoft.

Logiciels concernés

Les versions ou éditions répertoriées ci-dessous sont concernées. Les versions ou éditions non répertoriées ont atteint la fin de leurs cycles de vie ou ne sont pas concernées. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Logiciels Microsoft Office

Suites Microsoft Office

Composant

Impact de sécurité maximal

Indice de gravité cumulée

Mises à jour remplacées

Microsoft Office 2007

Microsoft Office 2007 Service Pack 3
(2984939)

Non applicable

Exécution de code à distance

Important

2760411 dans le Bulletin MS13-072

Microsoft Office 2007 Service Pack 3

Microsoft Excel 2007 Service Pack 3
(2956103)

Exécution de code à distance

Important

2920788 dans le Bulletin MS15-012

Microsoft Office 2007 Service Pack 3

Microsoft PowerPoint 2007 Service Pack 3
(2899580)

Exécution de code à distance

Important

2596764 dans le Bulletin MS11-094

Microsoft Office 2007 Service Pack 3

Microsoft Word 2007 Service Pack 3
(2956109)

Exécution de code à distance

Critique

2956099 dans le Bulletin MS15-012

Microsoft Office 2010

Microsoft Office 2010 Service Pack 2 (éditions 32 bits)
(2956076)

Non applicable

Exécution de code à distance

Important

Aucun

Microsoft Office 2010 Service Pack 2 (éditions 64 bits)
(2956076)

Non applicable

Exécution de code à distance

Important

Aucun

Microsoft Office 2010 Service Pack 2 (éditions 32 bits)
(2956138)

Non applicable

Exécution de code à distance

Critique

2956058 dans le Bulletin MS15-012

Microsoft Office 2010 Service Pack 2 (éditions 64 bits)
(2956138)

Non applicable

Exécution de code à distance

Critique

2956058 dans le Bulletin MS15-012

Microsoft Office 2010 Service Pack 2 (éditions 32 bits) (oart)
(2883100)

Non applicable

Exécution de code à distance

Important

2826023 dans le Bulletin MS13-085

Microsoft Office 2010 Service Pack 2 (éditions 64 bits) (oart)
(2883100)

Non applicable

Exécution de code à distance

Important

2826023 dans le Bulletin MS13-085

Microsoft Office 2010 Service Pack 2 (éditions 32 bits) (oartconv)
(2889839)

Non applicable

Exécution de code à distance

Important

2826035 dans le Bulletin MS13-085

Microsoft Office 2010 Service Pack 2 (éditions 64 bits) (oartconv)
(2889839)

Non applicable

Exécution de code à distance

Important

2826035 dans le Bulletin MS13-085

Microsoft Office 2010 Service Pack 2 (éditions 32 bits)

Microsoft Excel 2010 Service Pack 2 (éditions 32 bits)
(2956142)

Exécution de code à distance

Important

2956081 dans le Bulletin MS15-012

Microsoft Office 2010 Service Pack 2 (éditions 64 bits)

Microsoft Excel 2010 Service Pack 2 (éditions 64 bits)
(2956142)

Exécution de code à distance

Important

2956081 dans le Bulletin MS15-012

Microsoft Office 2010 Service Pack 2 (éditions 32 bits)

Microsoft PowerPoint 2010 Service Pack 2 (éditions 32 bits)
(2920812)

Exécution de code à distance

Important

2553185 dans le Bulletin MS11-094

Microsoft Office 2010 Service Pack 2 (éditions 64 bits)

Microsoft PowerPoint 2010 Service Pack 2 (éditions 64 bits)
(2920812)

Exécution de code à distance

Important

2553185 dans le Bulletin MS11-094

Microsoft Office 2010 Service Pack 2 (éditions 32 bits)

Microsoft Word 2010 Service Pack 2 (éditions 32 bits)
(2956139)

Exécution de code à distance

Critique

2956066 dans le Bulletin MS15-012

Microsoft Office 2010 Service Pack 2 (éditions 64 bits)

Microsoft Word 2010 Service Pack 2 (éditions 64 bits)
(2956139)

Exécution de code à distance

Critique

2956066 dans le Bulletin MS15-012

Microsoft Office 2013

Microsoft Office 2013 (éditions 32 bits)
(2956151)

Non applicable

Exécution de code à distance

Important

2878316 dans le Bulletin MS14-023

Microsoft Office 2013 Service Pack 1 (éditions 32 bits)
(2956151)

Non applicable

Exécution de code à distance

Important

2878316 dans le Bulletin MS14-023

Microsoft Office 2013 (éditions 64 bits)
(2956151)

Non applicable

Exécution de code à distance

Important

2878316 dans le Bulletin MS14-023

Microsoft Office 2013 Service Pack 1 (éditions 64 bits)
(2956151)

Non applicable

Exécution de code à distance

Important

2878316 dans le Bulletin MS14-023

Microsoft Office 2013 (éditions 32 bits)

Microsoft Word 2013 (éditions 32 bits)
(2956163)

Exécution de code à distance

Critique

2910916 dans le Bulletin MS14-081

Microsoft Office 2013 Service Pack 1 (éditions 32 bits)

Microsoft Word 2013 Service Pack 1 (éditions 32 bits)
(2956163)

Exécution de code à distance

Critique

2910916 dans le Bulletin MS14-081

Microsoft Office 2013 (éditions 64 bits)

Microsoft Word 2013 (éditions 64 bits)
(2956163)

Exécution de code à distance

Critique

2910916 dans le Bulletin MS14-081

Microsoft Office 2013 Service Pack 1 (éditions 64 bits)

Microsoft Word 2013 Service Pack 1 (éditions 64 bits)
(2956163)

Exécution de code à distance

Critique

2910916 dans le Bulletin MS14-081

Office 2013 RT

Microsoft Office 2013 RT
(2956151) [1]

Non applicable

Exécution de code à distance

Important

2878316 dans le Bulletin MS14-023

Microsoft Office 2013 RT Service Pack 1
(2956151) [1]

Non applicable

Exécution de code à distance

Important

2878316 dans le Bulletin MS14-023

Microsoft Office 2013 RT

Microsoft Word 2013 RT
(2956163) [1]

Exécution de code à distance

Critique

2878316 dans le Bulletin MS14-023

Microsoft Office 2013 RT Service Pack 1

Microsoft Word 2013 RT Service Pack 1
(2956163) [1]

Exécution de code à distance

Critique

2878316 dans le Bulletin MS14-023

Autres logiciels Office

Visionneuse Microsoft Word
(2956188)

Non applicable

Exécution de code à distance

Critique

2956092 dans le Bulletin MS15-012

Visionneuse Microsoft Excel
(2956189)

Non applicable

Exécution de code à distance

Important

2920791 dans le Bulletin MS15-012

Pack de compatibilité Microsoft Office Service Pack 3 (wordconv)
(2956107)

Non applicable

Exécution de code à distance

Critique

2956098 dans le Bulletin MS15-012

Pack de compatibilité Microsoft Office Service Pack 3 (xlconv)
(2956106)

Non applicable

Exécution de code à distance

Important

2956097 dans le Bulletin MS15-012

[1]Cette mise à jour est disponible via Windows Update.

Services Microsoft Office et Microsoft Office Web Apps

Services Microsoft Office et Microsoft Office Web Apps

Composant

Impact de sécurité maximal

Indice de gravité cumulée

Mises à jour remplacées

Microsoft SharePoint Server 2010

Microsoft SharePoint Server 2010 Service Pack 2

Word Automation Services (wdsrv)
(2956136)

Exécution de code à distance

Critique

2920810 dans le Bulletin MS15-012

Microsoft SharePoint Server 2013

Microsoft SharePoint Server 2013

Excel Services (xlsrvloc)
(2956143)

Exécution de code à distance

Important

2837631 dans le Bulletin MS13-100

Microsoft SharePoint Server 2013 Service Pack 1

Excel Services (xlsrvloc)
(2956143)

Exécution de code à distance

Important

2837631 dans le Bulletin MS13-100

Microsoft SharePoint Server 2013

Word Automation Services (wdsrvloc)
(2920731)

Exécution de code à distance

Critique

2883050 dans le Bulletin MS14-081

Microsoft SharePoint Server 2013 Service Pack 1

Word Automation Services (wdsrvloc)
(2920731)

Exécution de code à distance

Critique

2883050 dans le Bulletin MS14-081

Microsoft Office Web Apps 2010

Microsoft Office Web Apps 2010 Service Pack 2

Microsoft Web Applications 2010 Service Pack 2 (wacloc2010)
(2956069)

Exécution de code à distance

Critique

Aucun

Microsoft Office Web Apps 2010 Service Pack 2

Microsoft Office Web Apps Server 2010 Service Pack 2 (wacloc2010)
(2956069)

Exécution de code à distance

Critique

Aucun

Microsoft Office Web Apps 2013

Microsoft Office Web Apps 2013

Microsoft Office Web Apps Server 2013 [2] (wacserver2013)
(2956158)

Exécution de code à distance

Critique

2880453 dans MS14-022

Microsoft Office Web Apps 2013 Service Pack 1

Microsoft Office Web Apps Server 2013 Service Pack 1[2] (wacserver2013)
(2956158)

Exécution de code à distance

Critique

2880453 dans MS14-022

[2] L'application de mises à jour Office Web Apps Server par l'utilisation de processus de mises à jour automatiques n'est pas prise en charge pour Office Web Apps Server. Pour obtenir les instructions d'application des mises à jour pour Office Web Apps Server, consultez l'article « Application de mises à jour logicielles pour Office Web Apps Server ».

Logiciels serveurs Microsoft

Microsoft SharePoint Server

Composant

Impact de sécurité maximal

Indice de gravité cumulée

Mises à jour remplacées

Microsoft SharePoint Server 2007

Microsoft SharePoint Server 2007 Service Pack 3 (éditions 32 bits)
(2881068)

Non applicable

Exécution de code à distance

Important

2837616 dans le Bulletin MS14-022

Microsoft SharePoint Server 2007 Service Pack 3 (éditions 64 bits)
(2881068)

Non applicable

Exécution de code à distance

Important

2837616 dans le Bulletin MS14-022

Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versions 32 bits)
(2881068)

Non applicable

Exécution de code à distance

Important

2837616 dans le Bulletin MS14-022

Microsoft Windows SharePoint Services 3.0 Service Pack 3 (versions 64 bits)
(2881068)

Non applicable

Exécution de code à distance

Important

2837616 dans le Bulletin MS14-022

Microsoft SharePoint Server 2010

Microsoft SharePoint Server 2010 Service Pack 2

Microsoft SharePoint Foundation 2010 Service Pack 2 (wssloc)
(2956208)

Exécution de code à distance

Important

2889838 dans le Bulletin MS14-073

Microsoft SharePoint Server 2010 Service Pack 2

Microsoft SharePoint Server 2010 Service Pack 2 (wssloc)
(2956208)

Exécution de code à distance

Important

2889838 dans le Bulletin MS14-073

Microsoft SharePoint Server 2013

Microsoft SharePoint Server 2013

Microsoft SharePoint Foundation 2013 (sts)
(2956175)

Exécution de code à distance

Important

2880994 dans le Bulletin MS14-050

Microsoft SharePoint Server 2013 Service Pack 1

Microsoft SharePoint Foundation 2013 Service Pack 1 (sts)
(2956175)

Exécution de code à distance

Important

2880994 dans le Bulletin MS14-050

Microsoft SharePoint Server 2013

Microsoft SharePoint Foundation 2013 (wssloc)
(2956183)

Exécution de code à distance

Important

Aucun

Microsoft SharePoint Server 2013 Service Pack 1

Microsoft SharePoint Foundation 2013 Service Pack 1 (wssloc)
(2956183)

Exécution de code à distance

Important

Aucun

Microsoft SharePoint Server 2013

Microsoft SharePoint Foundation 2013 (smsloc)
(2760508)

Exécution de code à distance

Important

Aucun

Microsoft SharePoint Server 2013 Service Pack 1

Microsoft SharePoint Foundation 2013 Service Pack 1 (smsloc)
(2760508)

Exécution de code à distance

Important

Aucun

Microsoft SharePoint Server 2013

Microsoft SharePoint Server 2013 (acsrvloc)
(2956180)

Exécution de code à distance

Important

Aucun

Microsoft SharePoint Server 2013 Service Pack 1

Microsoft SharePoint Server 2013 Service Pack 1 (acsrvloc)
(2956180)

Exécution de code à distance

Important

Aucun

Microsoft SharePoint Server 2013

Microsoft SharePoint Server 2013 (coreserverloc)
(2956153)

Exécution de code à distance

Important

2863829 dans le Bulletin MS14-022

Microsoft SharePoint Server 2013 Service Pack 1

Microsoft SharePoint Server 2013 Service Pack 1 (coreserverloc)
(2956153)

Exécution de code à distance

Important

2863829 dans le Bulletin MS14-022

Microsoft SharePoint Server 2013

Microsoft SharePoint Server 2013 (eduloc)
(2760554)

Exécution de code à distance

Important

Aucun

Microsoft SharePoint Server 2013 Service Pack 1

Microsoft SharePoint Server 2013 Service Pack 1 (eduloc)
(2760554)

Exécution de code à distance

Important

Aucun

Microsoft SharePoint Server 2013

Microsoft SharePoint Server 2013 (ifsloc)
(2880473)

Exécution de code à distance

Important

Aucun

Microsoft SharePoint Server 2013 Service Pack 1

Microsoft SharePoint Server 2013 Service Pack 1 (ifsloc)
(2880473)

Exécution de code à distance

Important

Aucun

Microsoft SharePoint Server 2013

Microsoft SharePoint Server 2013 (lpsrvloc)
(2737989)

Exécution de code à distance

Important

Aucun

Microsoft SharePoint Server 2013 Service Pack 1

Microsoft SharePoint Server 2013 Service Pack 1 (lpsrvloc)
(2737989)

Exécution de code à distance

Important

Aucun

Microsoft SharePoint Server 2013

Microsoft SharePoint Server 2013 (ppsmaloc)
(2881078)

Exécution de code à distance

Important

Aucun

Microsoft SharePoint Server 2013 Service Pack 1

Microsoft SharePoint Server 2013 Service Pack 1 (ppsmaloc)
(2881078)

Exécution de code à distance

Important

Aucun

Microsoft SharePoint Server 2013

Microsoft SharePoint Server 2013 (vsrvloc)
(2956181)

Exécution de code à distance

Important

Aucun

Microsoft SharePoint Server 2013 Service Pack 1

Microsoft SharePoint Server 2013 Service Pack 1 (vsrvloc)
(2956181)

Exécution de code à distance

Important

Aucun

Microsoft SharePoint Server 2013

Microsoft SharePoint Server 2013 (wasrvloc)
(2760361)

Exécution de code à distance

Important

Aucun

Microsoft SharePoint Server 2013 Service Pack 1

Microsoft SharePoint Server 2013 Service Pack 1 (wasrvloc)
(2760361)

Exécution de code à distance

Important

Aucun

Forum aux questions concernant les mises à jour

Microsoft Word 2010 est installé sur mon système. Pourquoi la mise à jour 2956138 ne m'est-elle pas proposée ?
La mise à jour 2956138 s'applique uniquement aux systèmes exécutant des configurations spécifiques de Microsoft Office 2010. La mise à jour ne sera pas proposée à d'autres systèmes.

On me propose cette mise à jour pour un logiciel qui n'est pas répertorié spécifiquement dans le tableau « Logiciels concernés ». Pourquoi me propose-t-on de procéder à cette mise à jour ?
Lorsqu'une mise à jour corrige du code vulnérable qui existe dans un composant partagé entre plusieurs produits Microsoft Office ou entre plusieurs versions du même produit Microsoft Office, cette mise à jour est considérée comme applicable à tous les produits et toutes les versions prises en charge qui contiennent ce composant vulnérable.

Indices de gravité et identificateurs de vulnérabilité

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité de mars.

Logiciels Microsoft Office

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné

Logiciels concernés

Vulnérabilité liée à l'utilisation après libération dans un composant Microsoft Office - CVE-2015-0085

Vulnérabilité de corruption de la mémoire dans Microsoft Office - CVE-2015-0086

Vulnérabilité liée à l'exécution de code à distance de la zone locale de Microsoft Word – CVE-2015-0097

Vulnérabilité liée à un script de site à site sur Microsoft SharePoint – CVE-2015-1633

Vulnérabilité liée à un script de site à site sur Microsoft SharePoint – CVE-2015-1636

Indice de gravité cumulée

Microsoft Office 2007

Microsoft Office 2007 Service Pack 3

Important
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Important

Microsoft Excel 2007 Service Pack 3

Important
Exécution de code à distance

Non applicable

Important
Exécution de code à distance

Non applicable

Non applicable

Important

Microsoft PowerPoint 2007 Service Pack 3

Important
Exécution de code à distance

Non applicable

Important
Exécution de code à distance

Non applicable

Non applicable

Important

Microsoft Word 2007 Service Pack 3

Important
Exécution de code à distance

Critique
Exécution de code à distance

Important
Exécution de code à distance

Non applicable

Non applicable

Critique

Microsoft Office 2010

Microsoft Office 2010 Service Pack 2 (éditions 32 bits)

Important
Exécution de code à distance

Critique
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Critique

Microsoft Office 2010 Service Pack 2 (éditions 64 bits)

Important
Exécution de code à distance

Critique
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Critique

Microsoft Excel 2010 Service Pack 2 (éditions 32 bits)

Important
Exécution de code à distance

Non applicable

Important
Exécution de code à distance

Non applicable

Non applicable

Important

Microsoft Excel 2010 Service Pack 2 (éditions 64 bits)

Important
Exécution de code à distance

Non applicable

Important
Exécution de code à distance

Non applicable

Non applicable

Important

Microsoft PowerPoint 2010 Service Pack 2 (éditions 32 bits)

Important
Exécution de code à distance

Non applicable

Important
Exécution de code à distance

Non applicable

Non applicable

Important

Microsoft PowerPoint 2010 Service Pack 2 (éditions 64 bits)

Important
Exécution de code à distance

Non applicable

Important
Exécution de code à distance

Non applicable

Non applicable

Important

Microsoft Word 2010 Service Pack 2 (éditions 32 bits)

Important
Exécution de code à distance

Critique
Exécution de code à distance

Important
Exécution de code à distance

Non applicable

Non applicable

Critique

Microsoft Word 2010 Service Pack 2 (éditions 64 bits)

Important
Exécution de code à distance

Critique
Exécution de code à distance

Important
Exécution de code à distance

Non applicable

Non applicable

Critique

Microsoft Office 2013

Microsoft Office 2013 (éditions 32 bits)

Important
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Important

Microsoft Office 2013 Service Pack 1 (éditions 32 bits)

Important
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Important

Microsoft Office 2013 (éditions 64 bits)

Important
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Important

Microsoft Office 2013 Service Pack 1 (éditions 64 bits)

Important
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Important

Microsoft Word 2013 (éditions 32 bits)

Important
Exécution de code à distance

Critique
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Critique

Microsoft Word 2013 Service Pack 1 (éditions 32 bits)

Important
Exécution de code à distance

Critique
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Critique

Microsoft Word 2013 (éditions 64 bits)

Important
Exécution de code à distance

Critique
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Critique

Microsoft Word 2013 Service Pack 1 (éditions 64 bits)

Important
Exécution de code à distance

Critique
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Critique

Microsoft Office 2013 RT

Microsoft Office 2013 RT

Important
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Important

Microsoft Office 2013 RT Service Pack 1

Important
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Important

Microsoft Word 2013 RT

Important
Exécution de code à distance

Critique
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Critique

Microsoft Word 2013 RT Service Pack 1

Important
Exécution de code à distance

Critique
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Critique

Autres logiciels Office

Visionneuse Microsoft Word

Non applicable

Critique
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Critique

Visionneuse Microsoft Excel

Important
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Important

Pack de compatibilité Microsoft Office Service Pack 3

Important
Exécution de code à distance

Critique
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Critique

Services Microsoft Office et Microsoft Office Web Apps

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné

Logiciels concernés

Vulnérabilité liée à l'utilisation après libération dans un composant Microsoft Office - CVE-2015-0085

Vulnérabilité de corruption de la mémoire dans Microsoft Office - CVE-2015-0086

Vulnérabilité liée à l'exécution de code à distance de la zone locale de Microsoft Word – CVE-2015-0097

Vulnérabilité liée à un script de site à site sur Microsoft SharePoint – CVE-2015-1633

Vulnérabilité liée à un script de site à site sur Microsoft SharePoint – CVE-2015-1636

Indice de gravité cumulée

Microsoft SharePoint Server 2010

Word Automation Services sur Microsoft SharePoint Server 2010 Service Pack 2

Important
Exécution de code à distance

Critique
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Critique

Microsoft SharePoint Server 2013

Excel Services sur Microsoft SharePoint Server 2013

Important
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Important

Excel Services sur Microsoft SharePoint Server 2013 Service Pack 1

Important
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Important

Word Automation Services sur Microsoft SharePoint Server 2013

Important
Exécution de code à distance

Critique
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Critique

Word Automation Services sur Microsoft SharePoint Server 2013 Service Pack 1

Important
Exécution de code à distance

Critique
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Critique

Microsoft Office Web Apps 2010

Microsoft Web Applications 2010 Service Pack 2

Important
Exécution de code à distance

Critique
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Critique

Microsoft Office Web Apps Server 2010 Service Pack 2

Important
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Important

Microsoft Office Web Apps 2013

Microsoft Web Apps Server 2013

Important
Exécution de code à distance

Critique
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Critique

Microsoft Web Apps Server 2013 Service Pack 1

Important
Exécution de code à distance

Critique
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Critique

Logiciels serveurs Microsoft

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné

Logiciels concernés

Vulnérabilité liée à l'utilisation après libération dans un composant Microsoft Office - CVE-2015-0085

Vulnérabilité de corruption de la mémoire dans Microsoft Office - CVE-2015-0086

Vulnérabilité liée à l'exécution de code à distance de la zone locale de Microsoft Word – CVE-2015-0097

Vulnérabilité liée à un script de site à site sur Microsoft SharePoint – CVE-2015-1633

Vulnérabilité liée à un script de site à site sur Microsoft SharePoint – CVE-2015-1636

Indice de gravité cumulée

Microsoft SharePoint Server 2007

Microsoft SharePoint Server 2007 Service Pack 3 (éditions 32 bits)

Important
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Important

Microsoft SharePoint Server 2007 Service Pack 3 (éditions 64 bits)

Important
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Important

Microsoft Windows SharePoint Services 3.0 Service Pack 3 (éditions 32 bits)

Important
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Important

Microsoft Windows SharePoint Services 3.0 Service Pack 3 (éditions 64 bits)

Important
Exécution de code à distance

Non applicable

Non applicable

Non applicable

Non applicable

Important

Microsoft SharePoint Server 2010

Microsoft SharePoint Foundation 2010 Service Pack 2

Important
Exécution de code à distance

Non applicable

Non applicable

Important
Élévation de privilèges

Non applicable

Important

Microsoft SharePoint Server 2010 Service Pack 2

Important
Exécution de code à distance

Non applicable

Non applicable

Important
Élévation de privilèges

Non applicable

Important

Microsoft SharePoint Server 2013

Microsoft SharePoint Foundation 2013

Important
Exécution de code à distance

Non applicable

Non applicable

Important
Élévation de privilèges

Important
Élévation de privilèges

Important

Microsoft SharePoint Foundation 2013 Service Pack 1

Important
Exécution de code à distance

Non applicable

Non applicable

Important
Élévation de privilèges

Important
Élévation de privilèges

Important

Microsoft SharePoint Server 2013

Important
Exécution de code à distance

Non applicable

Non applicable

Important
Élévation de privilèges

Important
Élévation de privilèges

Important

Microsoft SharePoint Server 2013 Service Pack 1

Important
Exécution de code à distance

Non applicable

Non applicable

Important
Élévation de privilèges

Important
Élévation de privilèges

Important

Informations par vulnérabilité

Vulnérabilité liée à l'utilisation après libération dans un composant Microsoft Office - CVE-2015-0085

Une vulnérabilité d'exécution de code à distance existe dans les logiciels Microsoft Office. Celle-ci survient lorsque les logiciels traitent de manière incorrecte des objets en mémoire lors de l'analyse de fichiers Office spécialement conçus. Ceci pourrait corrompre la mémoire système de manière à permettre à un attaquant d'exécuter du code arbitraire.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du script arbitraire dans le contexte de l'utilisateur actuel. Si l'utilisateur actuel est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d'administrateur.

L'exploitation de cette vulnérabilité nécessite qu'un utilisateur ouvre un fichier spécialement conçu avec une version affectée d'un logiciel Microsoft Office. Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l'utilisateur et en persuadant celui-ci d'ouvrir le fichier. Dans le cas d'une attaque web, l'attaquant pourrait héberger un site web (ou exploiter un site web compromis qui accepte ou héberge du contenu provenant d'utilisateurs) contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. Un attaquant n'aurait aucun moyen de forcer un utilisateur à visiter le site web. Il devrait le convaincre de visiter ce site web, généralement en l'incitant à cliquer sur un lien menant à son site dans un message électronique ou un message instantané, puis l'amener à ouvrir le fichier spécialement conçu.

Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Microsoft Office analyse des fichiers spécialement conçus.

Microsoft a été informée de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Lors de la publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Vulnérabilité de corruption de la mémoire dans Microsoft Office - CVE-2015-0086

Il existe une vulnérabilité d'exécution de code à distance dans un logiciel Microsoft Office lorsque celui-ci ne parvient pas à traiter correctement des fichiers au format .rtf en mémoire.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait utiliser une application spécialement conçue pour exécuter des actions dans le contexte de sécurité de l'utilisateur actuel. Le fichier pourrait alors, par exemple, effectuer des opérations au nom de l'utilisateur connecté avec les mêmes autorisations que ce dernier.

L'exploitation de cette vulnérabilité nécessite qu'un utilisateur ouvre un fichier spécialement conçu avec une version affectée d'un logiciel Microsoft Office. Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l'utilisateur et en persuadant celui-ci d'ouvrir le fichier. Notez que le volet de visualisation est un vecteur d'attaque pour cette vulnérabilité. Dans le cas d'une attaque web, l'attaquant pourrait héberger un site web (ou exploiter un site web compromis qui accepte ou héberge du contenu provenant d'utilisateurs) contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. Un attaquant n'aurait aucun moyen de forcer un utilisateur à visiter le site web. Il devrait le convaincre de visiter ce site web, généralement en l'incitant à cliquer sur un lien menant à son site dans un message électronique ou un message instantané, puis l'amener à ouvrir le fichier spécialement conçu.

Cette mise à jour corrige la vulnérabilité en modifiant la façon dont Office traite les fichiers en mémoire.

Microsoft a été informée de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Lors de la publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Vulnérabilité liée à l'exécution de code à distance de la zone locale de Microsoft Word – CVE-2015-0097

Une vulnérabilité d'exécution de code à distance existe dans les logiciels Microsoft Office. Celle-ci survient lorsque les logiciels traitent de manière incorrecte des objets en mémoire lors de l'analyse de fichiers Office spécialement conçus. Ceci pourrait corrompre la mémoire système de manière à permettre à un attaquant d'exécuter du code arbitraire.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait utiliser une application spécialement conçue pour exécuter des actions dans le contexte de sécurité de l'utilisateur actuel. Le fichier pourrait alors, par exemple, effectuer des opérations au nom de l'utilisateur connecté avec les mêmes autorisations que ce dernier.

L'exploitation de cette vulnérabilité nécessite qu'un utilisateur ouvre un fichier spécialement conçu avec une version affectée d'un logiciel Microsoft Office. Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant un fichier spécialement conçu à l'utilisateur et en persuadant celui-ci d'ouvrir le fichier. Notez que le volet de visualisation n'est pas un vecteur d'attaque pour cette vulnérabilité. Dans le cas d'une attaque web, l'attaquant pourrait héberger un site web (ou exploiter un site web compromis qui accepte ou héberge du contenu provenant d'utilisateurs) contenant un fichier spécialement conçu pour exploiter cette vulnérabilité. Un attaquant n'aurait aucun moyen de forcer un utilisateur à visiter le site web. Il devrait le convaincre de visiter ce site web, généralement en l'incitant à cliquer sur un lien menant à son site dans un message électronique ou un message instantané, puis l'amener à ouvrir le fichier spécialement conçu.

Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Microsoft Office analyse des fichiers spécialement conçus.

Microsoft a été informée de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Lors de la publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Les solutions de contournement suivantes peuvent être utiles, selon votre situation :

  • Configuration d'une entrée de Registre pour empêcher le contrôle ActiveX ADODB.RecordSet d'être exécuté dans Internet Explorer

    Remarque : toute mauvaise utilisation de l'Éditeur du Registre peut générer des problèmes sérieux pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil. Pour plus d'informations sur la procédure de modification du Registre, consultez la rubrique d'aide « Modifier des clés et des valeurs » dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'aide « Ajouter et supprimer des informations dans le Registre » et « Modifier les données du Registre » dans Regedt32.exe.

    1. Ouvrez l'Éditeur du Registre.
    2. Recherchez la clé de Registre suivante et cliquez dessus :
    3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility
    4. Dans le menu Edition, cliquez sur Nouveau, puis sur Clé.
    5. Entrez la valeur suivante :

          {00000535-0000-0010-8000-00AA006D2EA4}
      
    6. Sélectionnez la nouvelle clé, puis, dans le menu Edition, cliquez sur Nouveau, puis sur DWORD.

    7. Tapez CompatibilityFlags et appuyez sur Entrée.
    8. Dans le menu Edition, cliquez sur Modifier, puis sur Valeur DWORD (32 bits).
    9. Dans la zone Données de la valeur, tapez 0x00000400, puis cliquez sur OK.
    10. Quittez l'Éditeur du Registre.
    11. Redémarrez le système.

Impact de cette solution de contournement : Les sites web qui utilisent le contrôle ADODB.RecordSet ActiveX risquent de ne plus s'afficher ou fonctionner correctement dans Internet Explorer.

Procédure d'annulation de cette solution de contournement.

  1. Ouvrez l'Éditeur du Registre.
  2. Recherchez la sous-clé de Registre suivante et cliquez dessus :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{00000535-0000-0010-8000-00AA006D2EA4}
    
  3. Dans le menu Edition, cliquez sur Supprimer.

  4. Cliquez Oui lorsque vous y êtes invité.
  5. Quittez l'Éditeur du Registre.
  6. Redémarrez le système.

Plusieurs vulnérabilités de script de site à site (XSS) dans SharePoint

Il existe des vulnérabilités d'élévation de privilèges lorsque SharePoint Server ne nettoie pas correctement une requête spécialement conçue envoyée à un serveur SharePoint affecté. Un attaquant authentifié pourrait exploiter ces vulnérabilités en envoyant une requête spécialement conçue à un serveur SharePoint affecté. L'attaquant qui parvient à exploiter ces vulnérabilités pourrait ensuite effectuer des attaques de scripts de site à site sur des systèmes touchés et exécuter du script dans le contexte de sécurité de l'utilisateur actuel. Ces attaques pourraient permettre à l'attaquant de lire du contenu qu'il n'est pas autorisé à lire, d'utiliser l'identité de la victime pour effectuer des opérations sur le site SharePoint en son nom, comme modifier les autorisations et supprimer du contenu, et d'injecter du contenu malveillant dans le navigateur de la victime.

Cette mise à jour de sécurité corrige les vulnérabilités en veillant à ce que le serveur SharePoint nettoie correctement les entrées utilisateur.

Microsoft a été informé de ces vulnérabilités par une divulgation de vulnérabilité coordonnée. Lors de la publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de ces vulnérabilités dans le but d'attaquer des clients.

Le tableau suivant contient des liens vers l'entrée standard correspondant à chaque vulnérabilité dans la liste Common Vulnerabilities and Exposures (CVE) :

Titre de la vulnérabilité Numéro CVE Révélée publiquement Exploitée
Vulnérabilité liée à un script de site à site sur Microsoft SharePoint CVE-2015-1633 Non Non
Vulnérabilité liée à un script de site à site sur Microsoft SharePoint CVE-2015-1636 Non Non

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Les solutions de contournement suivantes peuvent être utiles, selon votre situation :

  • Désactivation ou changement de nom de comptes utilisateurs ayant des noms d'utilisateur suspects

    Désactivez ou renommez tous les comptes d'utilisateur ayant un nom d'utilisateur contenant des guillemets doubles, des chevrons, une balise HTML ou un code JavaScript, tel que :

                            "><img src=x onerror=prompt(1)>
    

Déploiement des mises à jour de sécurité

Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.

Remerciements

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations.

Dédit de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (10 mars 2015) : Bulletin publié.
  • V1.1 (26 mars 2015) : Bulletin mis à jour afin de corriger les informations de remplacement de mise à jour pour Microsoft Excel 2007 Service Pack 3 dans le tableau Logiciels concernés. Il s'agit d'une modification purement informative. Aucune modification n'a été apportée aux fichiers de la mise à jour. Nos clients ayant déjà mis à jour leur système n'ont pas besoin d'entreprendre de nouvelle action.

Page générée le 26/03/2015 14:11Z-07:00.