Bulletin de sécurité Microsoft MS15-035 - Critique

Une vulnérabilité dans le composant Microsoft Graphics pourrait permettre l'exécution de code à distance (3046306)

Date de publication : 14 avril 2015 | Date de mise à jour : 29 avril 2015

Version : 1.1

Synthèse

Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Windows. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un attaquant parvenait à convaincre un utilisateur d'accéder à un site web spécialement conçu, d'ouvrir un fichier spécialement conçu ou un répertoire de travail qui contient un fichier d'image EMF (Enhanced Metafile) spécialement conçu. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à agir de la sorte ; il devrait le convaincre, généralement par le biais de sollicitations envoyées par message électronique ou message instantané.

Cette mise à jour de sécurité est de niveau « critique » pour toutes les éditions prises en charge de Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2. Pour plus d'informations, consultez la section Logiciels concernés.

Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Windows traite les fichiers EMF. Pour plus d'informations sur la vulnérabilité, consultez la section Informations par vulnérabilité.

Pour plus d'informations sur cette mise à jour, voir l'article 3046306 de la Base de connaissances Microsoft.

Logiciels concernés

Les versions ou éditions répertoriées ci-dessous sont concernées. Les versions ou éditions non répertoriées ont atteint la fin de leurs cycles de vie ou ne sont pas concernées. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Système d'exploitation

Impact de sécurité maximal

Indice de gravité cumulée

Mises à jour remplacées

Windows Server 2003

Windows Server 2003 Service Pack 2
(3046306)

Exécution de code à distance

Critique

2876331 dans le Bulletin MS13-089

Windows Server 2003 Édition x64 Service Pack 2
(3046306)

Exécution de code à distance

Critique

2876331 dans le Bulletin MS13-089

Windows Server 2003 avec SP2 pour systèmes Itanium
(3046306)

Exécution de code à distance

Critique

2876331 dans le Bulletin MS13-089

Windows Vista

Windows Vista Service Pack 2
(3046306)

Exécution de code à distance

Critique

2876331 dans le Bulletin MS13-089

Windows Vista Édition x64 Service Pack 2
(3046306)

Exécution de code à distance

Critique

2876331 dans le Bulletin MS13-089

Windows Server 2008

Windows Server 2008 pour systèmes 32 bits Service Pack 2
(3046306)

Exécution de code à distance

Critique

2876331 dans le Bulletin MS13-089

Windows Server 2008 pour systèmes x64 Service Pack 2
(3046306)

Exécution de code à distance

Critique

2876331 dans le Bulletin MS13-089

Windows Server 2008 pour systèmes Itanium Service Pack 2
(3046306)

Exécution de code à distance

Critique

2876331 dans le Bulletin MS13-089

Windows 7

Windows 7 pour systèmes 32 bits Service Pack 1
(3046306)

Exécution de code à distance

Critique

2876331 dans le Bulletin MS13-089

Windows 7 pour systèmes x64 Service Pack 1
(3046306)

Exécution de code à distance

Critique

2876331 dans le Bulletin MS13-089

Windows Server 2008 R2

Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(3046306)

Exécution de code à distance

Critique

2876331 dans le Bulletin MS13-089

Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
(3046306)

Exécution de code à distance

Critique

2876331 dans le Bulletin MS13-089

Option d'installation Server Core

Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
(3046306)

Exécution de code à distance

Critique

2876331 dans le Bulletin MS13-089

Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)
(3046306)

Exécution de code à distance

Critique

2876331 dans le Bulletin MS13-089

Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
(3046306)

Exécution de code à distance

Critique

2876331 dans le Bulletin MS13-089

Indices de gravité et identificateurs de vulnérabilité

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité d'avril.

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné

Logiciels concernés

Vulnérabilité d'exécution de code à distance lors du traitement de fichiers EMF - CVE-2015-1645

Indice de gravité cumulée

Windows Server 2003

Windows Server 2003 Service Pack 2
(3046306)

Critique
Exécution de code à distance

Critique

Windows Server 2003 Édition x64 Service Pack 2
(3046306)

Critique
Exécution de code à distance

Critique

Windows Server 2003 avec SP2 pour systèmes Itanium
(3046306)

Critique
Exécution de code à distance

Critique

Windows Vista

Windows Vista Service Pack 2
(3046306)

Critique
Exécution de code à distance

Critique

Windows Vista Édition x64 Service Pack 2
(3046306)

Critique
Exécution de code à distance

Critique

Windows Server 2008

Windows Server 2008 pour systèmes 32 bits Service Pack 2
(3046306)

Critique
Exécution de code à distance

Critique

Windows Server 2008 pour systèmes x64 Service Pack 2
(3046306)

Critique
Exécution de code à distance

Critique

Windows Server 2008 pour systèmes Itanium Service Pack 2
(3046306)

Critique
Exécution de code à distance

Critique

Windows 7

Windows 7 pour systèmes 32 bits Service Pack 1
(3046306)

Critique
Exécution de code à distance

Critique

Windows 7 pour systèmes x64 Service Pack 1
(3046306)

Critique
Exécution de code à distance

Critique

Windows Server 2008 R2

Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(3046306)

Critique
Exécution de code à distance

Critique

Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
(3046306)

Critique
Exécution de code à distance

Critique

Option d'installation Server Core

Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)
(3046306)

Critique
Exécution de code à distance

Critique

Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)
(3046306)

Critique
Exécution de code à distance

Critique

Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
(3046306)

Critique
Exécution de code à distance

Critique

Informations par vulnérabilité

Vulnérabilité d'exécution de code à distance lors du traitement de fichiers EMF - CVE-2015-1645

Il existe une vulnérabilité d'exécution de code à distance dans la façon dont Microsoft Windows traite de manière incorrecte certains fichiers de format d'image EMF (Enhanced Metafile) spécialement conçus. Un attaquant réussissant à exploiter cette vulnérabilité pourrait exécuter du code arbitraire dans le contexte de l'utilisateur connecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Si un utilisateur est connecté avec des privilèges d'administrateur, un attaquant pourrait prendre le contrôle intégral du système affecté. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d'administrateur.

Dans le cas d'une attaque web, un attaquant pourrait héberger un site web spécialement conçu pour exploiter cette vulnérabilité via Internet Explorer, puis inciter un utilisateur à consulter ce site. Peuvent également être concernés des sites web compromis et des sites web acceptant ou hébergeant du contenu ou des bannières publicitaires provenant d'utilisateurs ; ces sites web pourraient comporter du contenu spécialement conçu pour exploiter cette vulnérabilité. Cependant, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites web. Il devrait convaincre l'utilisateur de le faire, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané.

Dans le cas d'une attaque par courrier électronique, un attaquant pourrait exploiter cette vulnérabilité en envoyant à l'utilisateur un message électronique ou un document Office spécialement conçu. Il devrait alors le persuader d'afficher le message ou d'ouvrir le fichier.

Un attaquant pourrait également exploiter cette vulnérabilité en hébergeant un fichier image nuisible sur un partage réseau. Il devrait alors convaincre un utilisateur d'accéder au dossier via l'Explorateur Windows.

Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Windows traite les fichiers EMF.

Microsoft a été informée de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Lors de la publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Les solutions de contournement suivantes peuvent être utiles, selon votre situation :

  • Désactiver le traitement des métafichiers en modifiant le Registre
    Les clients exécutant Windows Server 2003 qui ont appliqué la mise à jour 925902 ou les utilisateurs de Windows Vista, Windows Server 2008, Windows 7 ou Windows Server 2008 R2 peuvent désactiver le traitement des métafichiers en modifiant le Registre. Ce paramètre permet de protéger le système affecté des tentatives d'exploitation de cette vulnérabilité.

    Méthode manuelle :

    Avertissement Toute utilisation incorrecte de l'Éditeur du Registre peut générer des problèmes graves, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

    1. Cliquez sur Démarrer, sur Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.
    2. Recherchez la sous-clé de Registre suivante et cliquez dessus :

          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
      
    3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.

    4. Tapez DisableMetaFiles, puis appuyez sur Entrée.
    5. Dans le menu Edition, cliquez sur Modifier pour modifier l'entrée de Registre DisableMetaFiles.
    6. Dans la zone Données de la valeur, tapez 1, puis cliquez sur OK.
    7. Quittez l'Éditeur du Registre.
    8. Redémarrez l'ordinateur.

    Impact de cette solution de contournement : La désactivation du traitement des métafichiers peut entraîner une moindre qualité de l'apparence des applications ou des composants système. Désactiver le traitement des métafichiers peut également entraîner un dysfonctionnement total des applications ou des composants système. Un impact potentiel et significatif sur les fonctionnalités a été identifié. C'est pourquoi son application doit être évaluée et testée avec soin.

    Vous pouvez par exemple rencontrer les problèmes suivants :

    • Vous ne pouvez pas imprimer sur l'ordinateur.
    • Certaines applications ne peuvent pas afficher les images clipart.
    • Certaines situations utilisant le rendu OLE peuvent échouer. De manière spécifique, ceci est le cas lorsque le serveur d'objets n'est pas actif.

    Pour plus d'informations concernant ce paramètre, consultez l'article 941835 de la Base de connaissances Microsoft.

    ** Utilisation d'un script de déploiement :**

    1. Enregistrez ce qui suit dans un fichier portant l'extension .REG (par ex. Disable_MetaFiles.reg) :

          Windows Registry Editor Version 5.00
      
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize]
          "DisableMetaFiles"=dword:00000001
      
    2. Exécutez le script de Registre ci-dessus sur la machine cible à l'aide de la commande suivante à partir de l'invite de commande exécutée en tant qu'administrateur (sous Vista, un administrateur dotés de privilèges élevés) :

          Regedit.exe /s Disable_MetaFiles.reg
      
    3. Redémarrez l'ordinateur.

    Comment annuler cette solution de contournement :

    1. Cliquez sur Démarrer, sur Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.
    2. Recherchez la sous-clé de Registre suivante et cliquez dessus :

          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
      
    3. Sélectionnez l'entrée de Registre DisableMetaFiles, puis cliquez sur Modifier dans le menu Edition, afin de la modifier.

    4. Dans la zone Données de la valeur, tapez 0, puis cliquez sur OK.
    5. Quittez l'Éditeur du Registre.
    6. Redémarrez l'ordinateur.

Déploiement des mises à jour de sécurité

Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.

Remerciements

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations.

Dédit de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (14 avril 2015) : Bulletin publié.
  • V1.1 (29 avril 2015) : Bulletin mis à jour afin de corriger les informations de remplacement de mise à jour pour tous les logiciels concernés. Il s'agit d'une modification purement informative.

Page générée le 29/04/2015 10:40Z-07:00.