Bulletin de sécurité Microsoft MS15-034 - Critique

Une vulnérabilité dans HTTP.sys pourrait permettre l'exécution de code à distance (3042553)

Date de publication : 14 avril 2015 | Date de mise à jour : 22 avril 2015

Version : 1.1

Synthèse

Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Windows. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un attaquant envoyait une demande HTTP spécialement conçue à un système Windows affecté.

Cette mise à jour de sécurité est de niveau « critique » pour toutes les éditions prises en charge de Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 et de Windows Server 2012 R2. Pour plus d'informations, consultez la section Logiciels concernés.

La mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont la pile HTTP Windows gère les demandes. Pour plus d'informations sur la vulnérabilité, consultez la section Informations par vulnérabilité.

Pour plus d'informations sur ce document, voir l'article 3042553 de la Base de connaissances Microsoft.

Logiciels concernés

Les versions ou éditions répertoriées ci-dessous sont concernées. Les versions ou éditions non répertoriées ont atteint la fin de leurs cycles de vie ou ne sont pas concernées. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Système d'exploitation

Impact de sécurité maximal

Indice de gravité cumulée

Mises à jour remplacées

Windows 7

Windows 7 pour systèmes 32 bits Service Pack 1
(3042553)

Exécution de code à distance

Critique

Aucun

Windows 7 pour systèmes x64 Service Pack 1
(3042553)

Exécution de code à distance

Critique

Aucun

Windows Server 2008 R2

Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(3042553)

Exécution de code à distance

Critique

Aucun

Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
(3042553)

Exécution de code à distance

Critique

Aucun

Windows 8 et Windows 8.1

Windows 8 pour systèmes 32 bits
(3042553)

Exécution de code à distance

Critique

2829254 dans le Bulletin MS13-039

Windows 8 pour systèmes x64
(3042553)

Exécution de code à distance

Critique

2829254 dans le Bulletin MS13-039

Windows 8.1 pour systèmes 32 bits
(3042553)

Exécution de code à distance

Critique

Aucun

Windows 8.1 pour systèmes x64
(3042553)

Exécution de code à distance

Critique

Aucun

Windows Server 2012 et Windows Server 2012 R2

Windows Server 2012
(3042553)

Exécution de code à distance

Critique

2829254 dans le Bulletin MS13-039

Windows Server 2012 R2
(3042553)

Exécution de code à distance

Critique

Aucun

Option d'installation Server Core

Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
(3042553)

Exécution de code à distance

Critique

Aucun

Windows Server 2012 (installation Server Core)
(3042553)

Exécution de code à distance

Critique

2829254 dans le Bulletin MS13-039

Windows Server 2012 R2 (installation Server Core)
(3042553)

Exécution de code à distance

Critique

Aucun

Remarque Cette mise à jour est disponible pour Windows Technical Preview et Windows Server Technical Preview. Les clients exécutant ces systèmes d'exploitation sont invités à appliquer cette mise à jour qui est disponible via Windows Update.

Indices de gravité et identificateurs de vulnérabilité

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité d'avril.

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné

Logiciels concernés

Vulnérabilité d'exécution de code à distance dans HTTP.sys - CVE-2015-1635

Indice de gravité cumulée

Windows 7

Windows 7 pour systèmes 32 bits Service Pack 1
(3042553)

Critique
Exécution de code à distance

Critique

Windows 7 pour systèmes x64 Service Pack 1
3042553

Critique
Exécution de code à distance

Critique

Windows Server 2008 R2

Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
(3042553)

Critique
Exécution de code à distance

Critique

Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(3042553)

Critique
Exécution de code à distance

Critique

Windows 8 et Windows 8.1

Windows 8 pour systèmes 32 bits
(3042553)

Critique
Exécution de code à distance

Critique

Windows 8 pour systèmes x64
(3042553)

Critique
Exécution de code à distance

Critique

Windows Server 2012 et Windows Server 2012 R2

Windows Server 2012
(3042553)

Critique
Exécution de code à distance

Critique

Windows Server 2012 R2
(3042553)

Critique
Exécution de code à distance

Critique

Option d'installation Server Core

Windows Server 2012 (installation Server Core)
(3042553)

Critique
Exécution de code à distance

Critique

Windows Server 2012 R2 (installation Server Core)
(3042553)

Critique
Exécution de code à distance

Critique

Informations par vulnérabilité

Vulnérabilité d'exécution de code à distance dans HTTP.sys - CVE-2015-1635

Il existe une vulnérabilité d'exécution de code à distance dans la pile du protocole HTTP (HTTP.sys) qui intervient lorsque HTTP.sys traite incorrectement des demandes HTTP spécialement conçues. Un attaquant réussissant à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte du compte système.

Pour exploiter cette vulnérabilité, un attaquant devrait envoyer une demande HTTP spécialement conçue au système touché. La mise à jour corrige la vulnérabilité en modifiant la façon dont la pile HTTP Windows gère les demandes.

Microsoft a été informée de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Lors de la publication initiale de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

La solution de contournement suivante peut être utile, selon votre situation :

  • Désactiver la mise en cache du noyau IIS

    Cette solution de contournement est spécifique à IIS et peut entraîner des problèmes de performances. Pour plus d'informations, consultez l'article Activer la mise en cache du noyau (IIS 7).

Déploiement des mises à jour de sécurité

Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.

Remerciements

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations.

Dédit de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (14 avril 2015) : Bulletin publié.
  • V1.1 (22 avril 2015) : Bulletin mis à jour afin de corriger les informations de remplacement de mise à jour pour Windows 8 et Windows Server 2012 dans le tableau Logiciels concernés. Il s'agit d'une modification purement informative. Aucune modification n'a été apportée aux fichiers de la mise à jour. Nos clients ayant déjà mis à jour leur système n'ont pas besoin d'entreprendre de nouvelle action.

Page générée le 22/04/2015 11:30Z-07:00.