Accueil ![](/web/20061025174943im_/http://www.psepc-sppcc.gc.ca/world/site/images/spacer.gif) ![](/web/20061025174943im_/http://www.psepc-sppcc.gc.ca/world/site/images/breadcrumb_arrow.gif) Programmes ![](/web/20061025174943im_/http://www.psepc-sppcc.gc.ca/world/site/images/spacer.gif) ![](/web/20061025174943im_/http://www.psepc-sppcc.gc.ca/world/site/images/breadcrumb_arrow.gif) Gestion des urgences ![](/web/20061025174943im_/http://www.psepc-sppcc.gc.ca/world/site/images/spacer.gif) ![](/web/20061025174943im_/http://www.psepc-sppcc.gc.ca/world/site/images/breadcrumb_arrow.gif) Intervention ![](/web/20061025174943im_/http://www.psepc-sppcc.gc.ca/world/site/images/spacer.gif) ![](/web/20061025174943im_/http://www.psepc-sppcc.gc.ca/world/site/images/breadcrumb_arrow.gif) CCRIC ![](/web/20061025174943im_/http://www.psepc-sppcc.gc.ca/world/site/images/spacer.gif) ![](/web/20061025174943im_/http://www.psepc-sppcc.gc.ca/world/site/images/breadcrumb_arrow.gif) Diffusions analytiques2 ![](/web/20061025174943im_/http://www.psepc-sppcc.gc.ca/world/site/images/spacer.gif) ![](/web/20061025174943im_/http://www.psepc-sppcc.gc.ca/world/site/images/breadcrumb_arrow.gif) AV06-043 : Bulletins de sécurité Microsoft de MS06-056 à MS06-065
Mise à jour de l'avis AV06-043 Date : Le 19 octobre 2006 Cette mise à jour est distribuée afin de vous aviser que, le 19 octobre 2006, Microsoft a mis à jour le bulletin de sécurité MS06-061 : Des vulnérabilités des services essentiels XML de Microsoft pourraient permettre l’exécution de code à distance (924191). Microsoft a publié à nouveau une version ciblée de la mise à jour MS06-061 pour Windows 2000. Alors que la version initiale de cette mise à jour de sécurité protégeait contre toutes les vulnérabilités discutées dans le bulletin, elle ne donnait pas au bit d’invaliadation de Microsoft XML Parser 2.6 une valeur appropriée. La nouvelle version de MS06-061 pour Windows 2000 protège contre toutes les vulnérabilités discutées dans le bulletin et elle règle correctement le bit d’invalidation de Microsoft XML Parser 2.6. Pour plus de renseignements, aller à : http://support.microsoft.com/kb/924191 http://www.microsoft.com/technet/security/bulletin/ms06-061.mspx Numéro : AV06-043 Date : 10 octobre 2006 ObjetCet avis a pour objet d'attirer votre attention sur des vulnérabilités (six critiques, une grave, deux de gravité moyenne et une de faible importance) décelées dans certains produits de Microsoft. MS06-056 : Une vulnérabilité d’ASP.NET 2.0 risque d’autoriser la divulgation d’information (922770) ÉvaluationVulnérabilité de .NET Framework 2.0 aux scripts inter-sites - CVE-2006-3436 : Les serveurs exécutant une version touchée de .Net Framework 2.0 sont exposés à une vulnérabilité aux scripts inter-sites qui risque d’entraîner l’insertion d’un script côté client dans le navigateur de l’utilisateur. Ce script pourrait falsifier du contenu, divulguer de l’information ou exécuter des actions que l’utilisateur pourrait lui-même exécuter sur le site Web visé. L’exploitation de cette vulnérabilité nécessite l’intervention de l’utilisateur. Type de vulnérabilité : Divulgation d’information Indice de gravité maximal : Moyen Logiciels et composants concernés : - Microsoft Windows 2000 Service Pack
- Microsoft Windows XP Service Pack 1 ou Windows XP Service Pack 2
- Microsoft Windows XP Professionnel Édition x64
- Microsoft Windows XP Édition Tablet PC
- Microsoft Windows XP Édition Media Center
- Microsoft Windows Server 2003 ou Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 pour systèmes Itanium ou Windows Server 2003 SP1 pour systèmes Itanium
- Microsoft Windows Server 2003 Édition x64
- Microsoft .NET Framework 2.0
Mesure suggérée SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion. http://www.microsoft.com/technet/security/bulletin/ms06-056.mspx MS06-057 : Une vulnérabilité de l’Explorateur Windows risque d’autoriser l’exécution de code à distance (923191) ÉvaluationVulnérabilité de l’environnement de Windows à l’exécution de code à distance - CVE-2006-3730 : L’environnement de Windows est exposé au risque d’exécution de code à distance en raison de la validation inadéquate des paramètres d’entrée lorsqu’il est appelé par le contrôle ActiveX WebViewFolderIcon (Web View). Cette vulnérabilité risque de permettre l’exécution de code à distance si un utilisateur consulte un site Web ou un courriel créé à cette fin. Un pirate pourrait exploiter cette vulnérabilité en hébergeant un site Web contenant une page servant à exploiter cette vulnérabilité. Une personne qui réussirait à exploiter cette faille pourrait contrôler entièrement le système touché. Type de vulnérabilité : Exécution de code à distance Indice de gravité maximal : Critique Logiciels et composants concernés : - Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 1 et Service Pack 2
- Microsoft Windows XP Professionnel Édition x64
- Microsoft Windows Server 2003 et Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 pour systèmes Itanium et Microsoft Windows Server 2003 SP1 pour systèmes Itanium
- Microsoft Windows Server 2003 Édition x64
Mesure suggérée SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion. http://www.microsoft.com/technet/security/bulletin/ms06-057.mspx MS06-058 : Des vulnérabilités de Microsoft PowerPoint risquent d’autoriser l’exécution de code à distance (924163) ÉvaluationLe logiciel PowerPoint est touché par diverses vulnérabilités pouvant entraîner l’exécution de code à distance : Vulnérabilité relative à un objet pointeur mal formé dans PowerPoint - CVE-2006-3435 Vulnérabilité relative à un enregistrement de données mal formé dans PowerPoint - CVE-2006-3876 Vulnérabilité à l’altération de mémoire attribuable à un enregistrement mal formé dans PowerPoint - CVE-2006-3877 Vulnérabilité à un enregistrement mal formé dans PowerPoint - CVE-2006-4694 Type de vulnérabilité : Exécution de code à distance Indice de gravité maximal : Critique Logiciels et composants concernés : - Microsoft PowerPoint 2000 - Microsoft Office 2000 Service Pack 3
- Microsoft PowerPoint 2002 - Microsoft Office XP Service Pack 3
- Microsoft Office PowerPoint 2003 - Microsoft Office 2003 Service Pack 1 ou Service Pack 2
- Microsoft Office v. X pour Mac - Microsoft PowerPoint 2004 pour Mac
- Microsoft PowerPoint v. X pour Mac - Microsoft Office v. X pour Mac
Mesure suggérée SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion. http://www.microsoft.com/technet/security/bulletin/ms06-058.mspx MS06-059 : Des vulnérabilités de Microsoft Excel risquent d’autoriser l’exécution de code à distance (924164) Évaluation Le logiciel Excel est touché par diverses vulnérabilités pouvant entraîner l’exécution de code à distance : - Vulnérabilité relative à un enregistrement DATETIME mal formé dans Excel - CVE-2006-2387
- Vulnérabilité relative à un enregistrement STYLE mal formé dans Excel - CVE-2006-3431
- Vulnérabilité relative au traitement des fichiers Lotus 1-2-3 dans Excel - CVE-2006-3867
- Vulnérabilité relative à un enregistrement COLINFO mal formé dans Excel - CVE-2006-3875
Type de vulnérabilité : Exécution de code à distance Indice de gravité maximal : Critique Logiciels et composants concernés : - Microsoft Excel 2000 - Microsoft Office 2000 Service Pack 3
- Microsoft Excel 2002 - Microsoft Office XP Service Pack 3
- Microsoft Office Excel et Visionneuse 2003 - Microsoft Office 2003 Service Pack 1 ou Service Pack 2
- Microsoft Excel 2004 pour Mac - Microsoft Office 2004 pour Mac
- Microsoft Excel v. X pour Mac - Microsoft Office v. X pour Mac
- Suites Microsoft Works 2004, 2005 et 2006
Mesure suggérée SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion. http://www.microsoft.com/technet/security/bulletin/ms06-059.mspx MS06-060 : Des vulnérabilités de Microsoft Word risquent d’autoriser l’exécution de code à distance (924554) Évaluation Le logiciel Word est touché par diverses vulnérabilités pouvant entraîner l’exécution de code à distance : - Vulnérabilité de Microsoft Word - CVE-2006-3647
- Vulnérabilité relative à la fonction de fusion et publipostage dans Microsoft Word - CVE-2006-3651
- Vulnérabilité relative à une pile mal formée dans Microsoft Word - CVE-2006-4534
- Vulnérabilité de Microsoft Word pour Mac - CVE-2006-4693
Type de vulnérabilité : Exécution de code à distance Indice de gravité maximal : Critique Logiciels et composants concernés : - Microsoft Word 2000 - Microsoft Office 2000 Service Pack 3
- Microsoft Word 2002 - Microsoft Office XP Service Pack 3
- Microsoft Office Word et Visionneuse 2003 - Microsoft Office 2003 Service Pack 1 ou Service Pack 2
- Suites Microsoft Works 2004, 2005 et 2006
- Microsoft Office v. X pour Mac - Microsoft Office 2004 pour Mac
Mesure suggérée SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion. http://www.microsoft.com/technet/security/bulletin/ms06-060.mspx MS06-061: Des vulnérabilités de Microsoft XML Core Services risquent d’autoriser l’exécution de code à distance (924191) ÉvaluationL’exploitation de ces vulnérabilités pourrait entraîner la divulgation d’information (par exemple, les données d’identification) et l’exécution de code à distance. L’intervention de l’utilisateur est requise. - Vulnérabilité de Microsoft XML Core Services - CVE-2006-4685
- Vulnérabilité relative au dépassement du tampon XSLT - CVE-2006-4686
Type de vulnérabilité : Exécution de code à distance Indice de gravité maximal : Critique Logiciels et composants concernés : - Microsoft XML Parser 2.6 (toutes les versions) et Microsoft XML Core Services 3.0 (toutes les versions) sous Windows 2000 Service Pack 4
- Microsoft XML Parser 2.6 (toutes les versions) et Microsoft XML Core Services 3.0 (toutes les versions) sous Microsoft Windows XP Service Pack 1
- Microsoft XML Parser 2.6 (toutes les versions) et Microsoft XML Core Services 3.0 (toutes les versions) sous Microsoft Windows XP Service Pack 2
- Microsoft XML Parser 2.6 (toutes les versions) et Microsoft XML Core Services 3.0 (toutes les versions) sous Microsoft Windows XP Professionnel Édition x64
- Microsoft XML Parser 2.6 (toutes les versions) et Microsoft XML Core Services 3.0 (toutes les versions) sous Microsoft Windows Server 2003
- Microsoft XML Parser 2.6 (toutes les versions) et Microsoft XML Core Services 3.0 (toutes les versions) sous Microsoft Windows Server 2003 Service Pack 1
- Microsoft XML Parser 2.6 (toutes les versions) et Microsoft XML Core Services 3.0 (toutes les versions) sous Microsoft Windows Server 2003 pour systèmes Itanium et Microsoft Windows Server 2003 SP1 pour systèmes Itanium
- Microsoft XML Parser 2.6 (toutes les versions) et Microsoft XML Core Services 3.0 (toutes les versions) sous Microsoft Windows Server 2003 Édition x64
- Microsoft Office 2003 Service Pack 1 ou Service Pack 2 avec Microsoft XML Core Services 5.0 Service Pack 1
- Microsoft XML Core Services 4.0 sous Windows 2000 Service Pack 4
- Microsoft XML Core Services 4.0 sous Microsoft Windows XP Service Pack 1 et Microsoft Windows XP Service Pack 2
- Microsoft XML Core Services 4.0 sous Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1
- Microsoft XML Core Services 6.0 sous Windows 2000 Service Pack 4
- Microsoft XML Core Services 6.0 sous Microsoft Windows XP Service Pack 1 et Microsoft Windows XP Service Pack 2
- Microsoft XML Core Services 6.0 sous Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1
Mesure suggérée SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion. http://www.microsoft.com/technet/security/bulletin/ms06-061.mspx MS06-062 : Des vulnérabilités de Microsoft Office risquent d’entraîner l’exécution de code à distance (922581) ÉvaluationLa suite Microsoft Office est touchée par diverses vulnérabilités pouvant entraîner l’exécution de code à distance : - Vulnérabilité relative à l’accès mémoire erroné dans Office - CVE-2006-3434
- Vulnérabilité relative à un enregistrement de diagramme mal formé dans Office - CVE-2006-3650
- Vulnérabilité à l’altération de mémoire attribuable à un enregistrement mal formé dans Office - CVE-2006-3864
- Vulnérabilité relative à l’analyse des balises intelligentes dans Microsoft Office - CVE-2006-3868
Type de vulnérabilité : Exécution de code à distance Indice de gravité maximal : Critique Logiciels et composants concernés : - Microsoft Office 2000 Service Pack 3
- Microsoft Office XP Service Pack 3
- Microsoft Office 2003 Service Pack 1 ou Service Pack 2
- Microsoft Project 2000 Service Release 1
- Microsoft Project 2002 Service Pack 1
- Microsoft Visio 2002 Service Pack 2
- Microsoft Office 2004 pour Mac
- Microsoft Office v. X pour Mac
Mesure suggérée SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion. http://www.microsoft.com/technet/security/bulletin/ms06-062.mspx MS06-063 : Une vulnérabilité du service Serveur risque d’entraîner un déni de service (923414) ÉvaluationLe service Serveur est vulnérable au déni de service et à l’exécution de code à distance nécessitant des données d’identification : - Vulnérabilité du service Serveur au déni de service - CVE-2006-3942
- Vulnérabilité relative à la fonction Renommer dans SMB - CVE-2006-4696
Type de vulnérabilité : Déni de service Indice de gravité maximal : Grave Logiciels et composants concernés : - Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 1 et Microsoft Windows XP Service Pack 2
- Microsoft Windows XP Professionnel Édition x64
- Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 pour systèmes Itanium et Microsoft Windows Server 2003 SP1 pour systèmes Itanium
- Microsoft Windows Server 2003 Édition x64
Mesure suggérée SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion. http://www.microsoft.com/technet/security/bulletin/ms06-063.mspx MS06-064 : Des vulnérabilités de la pile TCP/IP IPv6 risquent d’entraîner un déni de service (922819) ÉvaluationDiverses implantations du protocole IPv6 dans le système d’exploitation Windows sont vulnérables au déni de service : - Vulnérabilité relative à la réinitialisation de la connexion ICMP - CVE-2004-0790
- Vulnérabilité relative à la réinitialisation de la connexion TCP - CVE-2004-0230
- Vulnérabilité relative à la demande de réinitialisation de connexion falsifiée - CVE-2005-0688
Type de vulnérabilité : Déni de service Indice de gravité maximal : Faible Logiciels et composants concernés : - Microsoft Windows XP Service Pack 1 et Microsoft Windows XP Service Pack 2
- Microsoft Windows XP Professionnel Édition x64
- Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 pour systèmes Itanium et Microsoft Windows Server 2003 SP1 pour systèmes Itanium
- Microsoft Windows Server 2003 Édition x64
Mesure suggérée SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion. http://www.microsoft.com/technet/security/bulletin/ms06-064.mspx MS06-065 : Une vulnérabilité de Windows Object Packager risque d’entraîner l’exécute de code à distance (924496) ÉvaluationVulnérabilité relative à la falsification de boîtes de dialogue d’Object Packager - CVE-2006-4692: Le programme Windows Object Packager est vulnérable à l’exécution de code à distance en raison de la façon dont les extensions de fichier sont traitées. L’intervention de l’utilisateur est requise. Type de vulnérabilité : Exécution de code à distance Indice de gravité maximal : Moyen Logiciels et composants concernés : - Microsoft Windows XP Service Pack 1 et Service Pack 2
- Microsoft Windows XP Professionnel Édition x64
- Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 pour systèmes Itanium et Microsoft Windows Server 2003 SP1 pour systèmes Itanium
- Microsoft Windows Server 2003 Édition x64
Mesure suggérée SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion. http://www.microsoft.com/technet/security/bulletin/ms06-065.mspx Avis aux lecteurs Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) recueille des renseignements concernant les menaces et les incidents cybernétiques contre les infrastructures essentielles du Canada. Cela nous permet de surveiller et d'analyser les menaces, de même que de diffuser des alertes, des avis de sécurité et d’autres produits d’information. Pour signaler des menaces ou des incidents, veuillez communiquer avec le Centre des opérations du gouvernement (COG) au 613-991-7000 ou à l'adresse cog-goc@sppcc.gc.ca. L'utilisation non autorisée de systèmes informatiques et les méfaits en matière de données constituent de graves infractions au Code criminel canadien. Toute activité criminelle présumée doit être signalée aux autorités policières locales. Le Centre national des opérations (CNO) de la Gendarmerie royale du Canada (GRC) reçoit de tels rapports 24 heures sur 24 et 7 jours sur 7 ou réachemine les appels aux autorités policières locales. On peut rejoindre le CNO au 613-993-4460. Les préoccupations liées à la sécurité nationale doivent être transmises au Service canadien du renseignement de sécurité (SCRS) au 613-993-9620. En cas de questions urgentes, ou pour signaler des incidents, veuillez communiquer avec le Centre des opérations du gouvernement au: Téléphone : 613-991-7000 Télécopieur : 613-996-0995 Télécopieur sécuritaire : 613-991-7094 Courriel : cog-goc@sppcc.gc.ca Pour des renseignements généraux sur la protection des infrastructures essentielles et la protection civile, veuillez communiquer avec la direction des Affaires publiques du SPPCC: Téléphone : 613-944-4875 ou 1-800-830-3118 Télécopieur : 613-998-9589 Courriel : communications@sppcc.gc.ca
|