Bulletin de sécurité Microsoft MS15-126 - Critique

Mise à jour de sécurité cumulative pour JScript et VBScript pour résoudre des problèmes d'exécution de code à distance (3116178)

Date de publication : 8 décembre 2015 | Date de mise à jour : 25 mai 2016

Version : 1.1

Synthèse

Cette mise à jour de sécurité corrige des vulnérabilités dans le moteur de script VBScript dans Microsoft Windows. La plus grave des vulnérabilités pourrait permettre l'exécution de code à distance si un attaquant héberge un site web spécialement conçu pour exploiter les vulnérabilités via Internet Explorer (ou se sert d'un site web compromis ou d'un site web qui accepte ou héberge du contenu ou des annonces fournis par un utilisateur), puis persuade un utilisateur de consulter le site web. Un attaquant peut également intégrer un contrôle ActiveX marqué comme « sûr pour l'initialisation » dans une application ou un document Microsoft Office qui utilise le moteur de rendu d'Internet Explorer pour rediriger l'utilisateur vers le site web spécialement conçu.

Un attaquant qui est parvenu à exploiter les vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur actuel et, si l'utilisateur actuel a ouvert une session avec des privilèges d'administrateur, l'attaquant qui parviendrait à exploiter ces vulnérabilités pourrait prendre le contrôle d'un système affecté. L'attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges.

Cette mise à jour de sécurité est de niveau « critique » pour les versions affectées du moteur de script VBScript sur toutes les éditions prises en charge de Windows Vista, Windows Server 2008 et les installations Server Core de Windows Server 2008 R2. Pour plus d'informations, consultez la section Logicielsconcernés.

Cette mise à jour corrige les vulnérabilités en modifiant la façon dont le moteur de script VBScript traite les objets en mémoire. Pour plus d'informations sur les vulnérabilités, consultez la section Informations par vulnérabilité.

Pour plus d'informations sur cette mise à jour, voir l'Article 3116178 de la Base de connaissances Microsoft.

Logiciels concernés

Les versions suivantes de VBScript sont affectées par la vulnérabilité décrite dans ce Bulletin. Les versions ou éditions antérieures non répertoriées ont atteint la fin de leurs cycles de vie ou ne sont pas concernées. Le logiciel affecté suivant s'applique aux systèmes sur lesquels Internet Explorer 7 ou version antérieure est installé et aux systèmes sur lesquels Internet Explorer n'est pas installé. Les clients dont les systèmes exécutent Internet Explorer 8 ou une version ultérieure doivent appliquer la mise à jour cumulative d'Internet Explorer 3104002 (MS15-124), qui corrige également la vulnérabilité décrite dans ce Bulletin.

Logiciels concernés

Système d'exploitation

Composant

Impact de sécurité maximal

Indice de gravité cumulée

Mises à jour remplacées\*

Windows Vista

Windows Vista Service Pack 2

VBScript 5.7
(3105579)

Exécution de code à distance

Critique

3068368 dans le Bulletin MS15-066

Windows Vista Édition x64 Service Pack 2

VBScript 5.7
(3105579)

Exécution de code à distance

Critique

3068368 dans le Bulletin MS15-066

Windows Server 2008

Windows Server 2008 pour systèmes 32 bits Service Pack 2

VBScript 5.7
(3105579)

Exécution de code à distance

Critique

3068368 dans le Bulletin MS15-066

Windows Server 2008 pour systèmes x64 Service Pack 2

VBScript 5.7
(3105579)

Exécution de code à distance

Critique

3068368 dans le Bulletin MS15-066

Windows Server 2008 pour systèmes Itanium Service Pack 2

VBScript 5.7
(3105579)

Exécution de code à distance

Critique

3068368 dans le Bulletin MS15-066

Option d'installation Server Core

Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core)

VBScript 5.7
(3105579)

Exécution de code à distance

Critique

3068368 dans le Bulletin MS15-066

Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core)

VBScript 5.7
(3105579)

Exécution de code à distance

Critique

3068368 dans le Bulletin MS15-066

Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(Installation Server Core uniquement)

VBScript 5.8
(3105578)

Exécution de code à distance

Critique

3068364 dans le Bulletin MS15-066

*La colonne Mises à jour remplacées n'affiche que la dernière mise à jour d'une série de mises à jour remplacées. Pour obtenir la liste complète des mises à jour remplacées, accédez au Catalogue Microsoft Update, recherchez le numéro d'article de la Base de connaissances, puis consultez les détails de la mise à jour (les informations sur les mises à jour remplacées figurent sous l'onglet Détails du package).

Forum aux questions concernant les mises à jour

Pour quelle raison puis-je voir JScript.dll et VBScript.dll dans les packages de cette mise à jour de sécurité cumulative ?
Cette mise à jour de sécurité est livrée sous la forme d'une mise à jour cumulative pour les moteurs de script JScript et VBScript. Comme cette publication concerne les deux moteurs, les composants concernés par les correctifs de sécurité décrits dans ce Bulletin sont répertoriés ci-dessus, dans la section Logicielsconcernés.

Comment déterminer les versions des moteurs de script JScript et VBScript installées sur mon système?
Les moteurs de script JScript et VBScript sont installés avec les versions prises en charge de Microsoft Windows. Par ailleurs, l'installation d'une version plus récente d'Internet Explorer sur un système peut modifier la version du moteur de script JScript et VBScript installée.

Pour déterminer les versions des moteurs de script JScript ou VBScript installées sur votre système, procédez comme suit :

  1. Ouvrez l'Explorateur Windows.
  2. Accédez au répertoire %systemroot%\system32.
  3. Pour VBScript, cliquez avec le bouton droit sur vbscript.dll, sélectionnez Propriétés, puis cliquez sur l'onglet Détails.
  4. Pour JScript, cliquez avec le bouton droit sur jscript.dll, sélectionnez Propriétés, puis cliquez sur l'onglet Détails.

Le numéro de version est indiqué dans le champ Version du fichier. Si votre version de fichier commence par 5.8, par exemple 5.8.7600.16385, cela signifie que VBScript version 5.8 est installé sur votre système.

Une fois que je connais la version du moteur de script JScript ou VBScript installée sur mon système, où puis-je me procurer la mise à jour ?
Le logiciel affecté indiqué dans ce Bulletin s'applique aux systèmes sur lesquels Internet Explorer n'est pas installé et aux systèmes sur lesquels Internet Explorer 7 ou des versions antérieures est installé. Les clients dont les systèmes exécutent Internet Explorer 8 ou une version ultérieure doivent appliquer la mise à jour cumulative d'Internet Explorer (MS15-124), qui corrige également les vulnérabilités décrites dans ce Bulletin.

Le tableau suivant dresse la liste des Bulletins qui fournissent la mise à jour par version de JScript et VBScript et d'Internet Explorer.

Version MS15-126 MS15-124
JScript 5.7 et VBScript 5.7
(Internet Explorer 7)
JScript 5.7 et VBScript 5.7
(3105579)
Non applicable
JScript 5.8 et VBScript 5.8
(Internet Explorer 8)
JScript 5.8 et VBScript 5.8
(3105578)
(Installation Windows Server Core sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 uniquement.)
Internet Explorer 8
(3104002)
JScript 5.8 et VBScript 5.8
(Internet Explorer 9)
Non applicable Internet Explorer 9
(3104002)
JScript 5.8 et VBScript 5.8
(Internet Explorer 10)
Non applicable Internet Explorer 10
(3104002)
JScript 5.8 et VBScript 5.8
(Internet Explorer 11)
Non applicable Internet Explorer 11
(3104002)
JScript 5.8 et VBScript 5.8
(Internet Explorer 11)
Non applicable Internet Explorer 11 sur Windows 10
(3116869)
JScript 5.8 et VBScript 5.8
(Internet Explorer 11)
Non applicable Internet Explorer 11 sur Windows 10 Version 1511
(3116900)

Indices de gravité et identificateurs de vulnérabilité

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité de décembre.

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné

Logiciels concernés

Vulnérabilité de divulgation d'informations liée au moteur de script - CVE-2015-6135

Vulnérabilité de corruption de mémoire dans le moteur de script - CVE-2015-6136

Indice de gravité cumulée

VBScript 5.7 (Internet Explorer 7)

VBScript 5.7 sous Windows Vista Service Pack 2
(3105579)

Important
Divulgation d'informations

Critique
Exécution de code à distance

Critique

VBScript 5.7 sous Windows Vista Édition x64 Service Pack 2
(3105579)

Important
Divulgation d'informations

Critique
Exécution de code à distance

Critique

VBScript 5.7 sous Windows Server 2008 pour systèmes 32 bits Service Pack 2
(3105579)

Important
Divulgation d'informations

Critique
Exécution de code à distance

Critique

VBScript 5.7 sous Windows Server 2008 pour systèmes 32 bits Service Pack 2
(Installation Server Core)
(3105579)

Important
Divulgation d'informations

Critique
Exécution de code à distance

Critique

VBScript 5.7 sous Windows Server 2008 pour systèmes x64 Service Pack 2
(3105579)

Important
Divulgation d'informations

Critique
Exécution de code à distance

Critique

VBScript 5.7 sous Windows Server 2008 pour systèmes x64 Service Pack 2
(Installation Server Core)
(3105579)

Important
Divulgation d'informations

Critique
Exécution de code à distance

Critique

VBScript 5.7 sous Windows Server 2008 pour systèmes Itanium Service Pack 2
(3105579)

Important
Divulgation d'informations

Critique
Exécution de code à distance

Critique

VBScript 5.8

VBScript 5.8 sous Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(Installation Server Core uniquement)
(3105578)

Important
Divulgation d'informations

Critique
Exécution de code à distance

Critique

Informations par vulnérabilité

Vulnérabilité de divulgation d'informations liée au moteur de script - CVE-2015-6135

Il existe une vulnérabilité de divulgation d'informations lorsque VBScript divulgue de manière incorrecte le contenu de sa mémoire, ce qui pourrait fournir à un attaquant des informations permettant de compromettre davantage l'ordinateur ou les données de l'utilisateur.

Pour exploiter cette vulnérabilité, un attaquant doit connaître l'adresse mémoire d'où l'objet a été créé. Cette mise à jour corrige la vulnérabilité en modifiant la façon dont certaines fonctions traitent les objets en mémoire.

Microsoft a été informée de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Lors de la publication initiale de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de la vulnérabilité dans le but d'attaquer des clients.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Les solutions de contournement suivantes peuvent être utiles, selon votre situation :

  • Limiter l'accès à VBScript.dll

    • Pour les systèmes 32 bits, entrez la commande suivante à partir d'une invite de commandes d'administration :

      takeown /f %windir%\system32\vbscript.dll 
      cacls %windir%\system32\vbscript.dll /E /P everyone:N
      
    • Pour les systèmes 64 bits, entrez la commande suivante à partir d'une invite de commandes d'administration :

      takeown /f %windir%\syswow64\vbscript.dll 
      cacls %windir%\syswow64\vbscript.dll /E /P everyone:N
      

    Impact de cette solution de contournement. Les sites web qui utilisent VBScript risquent de ne pas fonctionner correctement.

    Procédure d'annulation de cette solution de contournement.

    • Pour les systèmes 32 bits, entrez la commande suivante à partir d'une invite de commandes d'administration :

      cacls %windir%\system32\vbscript.dll /E /R everyone
      
    • Pour les systèmes 64 bits, entrez la commande suivante à partir d'une invite de commandes d'administration :

      cacls %windir%\syswow64\vbscript.dll /E /R everyone
      

Vulnérabilité de corruption de mémoire dans le moteur de script - CVE-2015-6136

Il existe une vulnérabilité d'exécution de code à distance dans le rendu du moteur VBScript lorsqu'il traite les objets en mémoire dans Internet Explorer. Dans le cas d'une attaque web, un attaquant pourrait héberger un site web spécialement conçu pour exploiter cette vulnérabilité via Internet Explorer, puis inciter un utilisateur à consulter ce site web. Un attaquant pourrait également intégrer un contrôle ActiveX marqué « sûr pour l'initialisation » à une application ou à un document Microsoft Office qui héberge le moteur de rendu d'IE. L'attaquant pourrait également exploiter des sites web compromis et des sites web qui acceptent ou hébergent du contenu ou des annonces fournis par les utilisateurs. Ces sites web pourraient contenir du code spécialement conçu pour exploiter cette vulnérabilité.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits d'utilisateur que l'utilisateur actuel. Si l'utilisateur actuel a ouvert une session avec des privilèges d'administrateur, un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle d'un système affecté. L'attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Cette mise à jour corrige la vulnérabilité en modifiant la façon dont le moteur de script VBScript traite les objets en mémoire.

Microsoft a été informée de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Lors de la publication initiale de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de la vulnérabilité dans le but d'attaquer des clients.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Les solutions de contournement suivantes peuvent être utiles, selon votre situation :

  • Limiter l'accès à VBScript.dll

    • Pour les systèmes 32 bits, entrez la commande suivante à partir d'une invite de commandes d'administration :

      takeown /f %windir%\system32\vbscript.dll 
      cacls %windir%\system32\vbscript.dll /E /P everyone:N
      
    • Pour les systèmes 64 bits, entrez la commande suivante à partir d'une invite de commandes d'administration :

      takeown /f %windir%\syswow64\vbscript.dll 
      cacls %windir%\syswow64\vbscript.dll /E /P everyone:N
      

    Impact de cette solution de contournement. Les sites web qui utilisent VBScript risquent de ne pas fonctionner correctement.

    Procédure d'annulation de cette solution de contournement.

    • Pour les systèmes 32 bits, entrez la commande suivante à partir d'une invite de commandes d'administration :

      cacls %windir%\system32\vbscript.dll /E /R everyone
      
    • Pour les systèmes 64 bits, entrez la commande suivante à partir d'une invite de commandes d'administration :

      cacls %windir%\syswow64\vbscript.dll /E /R everyone
      

Déploiement des mises à jour de sécurité

Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.

Remerciements

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations.

Dédit de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (8 décembre 2015) : Bulletin publié.
  • V1.1 (25 mai 2016) : Suppression des lignes redondantes du tableau Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné et ajout des numéros de mise à jour applicable pour clarification. Il s'agit d'une modification purement informative.

Page générée le 25/05/2016 12:57-07:00.