Accueil Programmes Gestion des urgences Intervention CCRIC Diffusions analytiques2 AV06-018 : Bulletins de sécurité Microsoft MS06-033, MS06-034, MS06-035, MS06-036, MS06-037, MS06-038, MS06-039

Bulletins de sécurité Microsoft MS06-033, MS06-034, MS06-035, MS06-036, MS06-037, MS06-038, MS06-039

Numéro : AV06-018
Date : 12 juillet 2006

Objet

L’objet du présent avis est d’attirer votre attention sur les vulnérabilités suivantes (5 critiques et 2 importantes) décelées dans certains produits Microsoft.

MS06-033 : Une vulnérabilité dans ASP.NET pourrait entraîner une divulgation d’information (917283).

Évaluation

Cette vulnérabilité pourrait permettre à un pirate de contourner la sécurité ASP.Net et d’accéder de façon non autorisée aux objets du dossier Application de manière explicite, par leur nom.

Répercussions de la vulnérabilité : Divulgation d’information

Indice de gravité maximal de Microsoft : Important

Logiciels touchés

• NET Framework 2.0 pour les versions des systèmes d’exploitation suivantes :
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows XP Service Pack 1 ou Windows XP Service Pack 2
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows Server 2003 ou Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 pour les systèmes Itanium et Microsoft Windows Server avec SP1 pour les systèmes Itanium
  • Microsoft Windows Server 2003 x64 Edition
• Composante touchée :
  • ASP.NET

Mesure recommandée

SPPCC recommande que les administrateurs testent et installent la mise à jour le plus rapidement possible.
http://www.microsoft.com/technet/security/bulletin/MS06-033.mspx

MS06-034 : Une vulnérabilité dans Microsoft Internet Information Services (IIS) utilisant Active Server Pages (ASP) pourrait permettre l’exécution de code à distance (917537).

Évaluation

Vulnérabilité relative à Microsoft Internet Information Services utilisant des pages Active Server Pages mal formées – CVE-2006-0026. IIS comporte une vulnérabilité d’exécution de code à distance. Un pirate pourrait exploiter cette vulnérabilité en élaborant un fichier ASP spécial, ce qui pourrait permettre l’exécution de code à distance lorsque IIS traite ce fichier spécialement conçu. Un pirate qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral d’un système affecté.

Répercussions de la vulnérabilité : Exécution de code à distance

Indice de gravité maximal de Microsoft : Important

Logiciels touchés

• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Professional Service Pack 1 et Microsoft Windows XP Professional Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 pour les systèmes Itanium et Microsoft Windows Server 2003 avec Service Pack 1 pour les systèmes Itanium
• Microsoft Windows Server 2003 x64 Edition
  

Composantes touchées :

• Microsoft Internet Information Services (IIS) 6.0
• Microsoft Internet Information Services (IIS) 5.1
• Microsoft Internet Information Services (IIS) 5.0

Mesure recommandée

SPPCC recommande que les administrateurs testent et installent la mise à jour le plus rapidement possible.
http://www.microsoft.com/technet/security/Bulletin/MS06-034.mspx

MS06-035 : Une vulnérabilité dans le service Serveur pourrait permettre l’exécution de code à distance (917159).

Évaluation

Cette mise à jour corrige deux vulnérabilités du service Serveur, dont la plus grave pourrait permettre l’exécution de code à distance.

Répercussions de la vulnérabilité : Exécution de code à distance

Indice de gravité maximal de Microsoft : Critique

Logiciels touchés

• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 1 et Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 pour les systèmes Itanium et Microsoft Windows Server 2003 avec SP1 pour les systèmes Itanium
• Microsoft Windows Server 2003 x64 Edition

Mesure recommandée

SPPCC recommande que les administrateurs testent et installent la mise à jour le plus rapidement possible.
http://www.microsoft.com/technet/security/bulletin/MS06-035.mspx

MS06-036 : Une vulnérabilité dans le service Client DHCP pourrait permettre l’exécution de code à distance (914388).

Évaluation

Vulnérabilité de saturation de la mémoire tampon dans le service Client DHCP – CVE-2006-2372. Il existe, dans le service Client DHCP, une vulnérabilité d’exécution de code à distance pouvant permettre à un pirate qui parviendrait à exploiter cette vulnérabilité de prendre le contrôle intégral du système affecté.

Répercussions de la vulnérabilité : Exécution de code à distance

Indice de gravité maximal de Microsoft : Critique

Logiciels touchés

• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 1 et Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 pour les systèmes Itanium et Microsoft Windows Server 2003 avec SP1 pour les systèmes Itanium
• Microsoft Windows Server 2003 x64 Edition

Mesure recommandée

SPPCC recommande que les administrateurs testent et installent la mise à jour le plus rapidement possible.
http://www.microsoft.com/technet/security/Bulletin/MS06-036.mspx

MS06-037 : Des vulnérabilités dans Microsoft Excel pourraient permettre l’exécution de code à distance (917285).

Évaluation

Vulnérabilité liée à un enregistrement SELECTION mal formé dans Microsoft Excel - CVE-2006‑1301. Il existe dans Excel une vulnérabilité d’exécution de code à distance qui résulte du traitement d’un enregistrement SELECTION mal formé. Un pirate pourrait exploiter cette vulnérabilité en élaborant un fichier Excel spécialement conçu qui pourrait permettre l’exécution de code à distance.

Vulnérabilité liée à un enregistrement SELECTION mal formé dans Microsoft Excel - CVE-2006‑1302. Il existe dans Excel une vulnérabilité d’exécution de code à distance qui résulte du traitement d’un enregistrement SELECTION mal formé. Un pirate pourrait exploiter cette vulnérabilité en élaborant un fichier Excel spécialement conçu qui pourrait permettre l’exécution de code à distance.

Vulnérabilité liée à un enregistrement COLINFO mal formé dans Microsoft Excel - CVE-2006‑1304. Il existe dans Excel une vulnérabilité d’exécution de code à distance qui résulte du traitement d’un enregistrement COLINFO mal formé. Un pirate pourrait exploiter cette vulnérabilité en élaborant un fichier Excel spécialement conçu qui pourrait permettre l’exécution de code à distance.

Vulnérabilité liée à un enregistrement OBJECT mal formé dans Microsoft Excel - CVE-2006‑1306. Il existe dans Excel une vulnérabilité d’exécution de code à distance qui résulte du traitement d’un enregistrement OBJECT mal formé. Un pirate pourrait exploiter cette vulnérabilité en élaborant un fichier Excel spécialement conçu qui pourrait permettre l’exécution de code à distance.

Vulnérabilité liée à un enregistrement FNGROUPCOUNT mal formé dans Microsoft Excel - CVE-2006‑1308. Il existe dans Excel une vulnérabilité d’exécution de code à distance qui résulte du traitement d’un enregistrement FNGROUPCOUNT mal formé. Un pirate pourrait exploiter cette vulnérabilité en élaborant un fichier Excel spécialement conçu qui pourrait permettre l’exécution de code à distance.

Vulnérabilité liée à un enregistrement LABEL mal formé dans Microsoft Excel - CVE-2006‑1309. Il existe dans Excel une vulnérabilité d’exécution de code à distance qui résulte du traitement d’un enregistrement LABEL mal formé. Un pirate pourrait exploiter cette vulnérabilité en élaborant un fichier Excel spécialement conçu qui pourrait permettre l’exécution de code à distance.

Vulnérabilité de reconstruction dans Microsoft Excel - CVE-2006‑2388. Il existe dans Excel une vulnérabilité d'exécution de code à distance lors du traitement d'un fichier CHART mal formé. Un pirate pourrait exploiter cette vulnérabilité en élaborant un fichier Excel spécialement conçu qui pourrait permettre l’exécution de code à distance.

Vulnérabilité liée à un fichier mal formé dans Microsoft Excel - CVE-2006‑3059. Il existe dans Excel une vulnérabilité d'exécution de code à distance lors du traitement d'un fichier mal formé. Un pirate pourrait exploiter cette vulnérabilité en élaborant un fichier Excel spécialement conçu qui pourrait permettre l’exécution de code à distance.

Répercussions de la vulnérabilité : Exécution de code à distance

Indice de gravité maximal de Microsoft : Critique

Logiciels touchés

• Microsoft Office 2003 Service Pack 1 ou Service Pack 2
  • Microsoft Excel 2003
  • Microsoft Excel Viewer 2003
• Microsoft Office XP Service Pack 3
  • Microsoft Excel 2002
• Microsoft Office 2000 Service Pack 3
  • Microsoft Excel 2000
• Microsoft Office 2004 pour Mac
  • Microsoft Excel 2004 pour Mac
• Microsoft Office v. X pour Mac
  • Microsoft Excel v. X pour Mac

Mesure recommandée

SPPCC recommande que les administrateurs testent et installent la mise à jour le plus rapidement possible.
http://www.microsoft.com/technet/security/Bulletin/MS06-037.mspx

MS06-038 : Des vulnérabilités dans Microsoft Office pourraient permettre l’exécution de code à distance (917284).

Évaluation

Vulnérabilité d’analyse dans Microsoft Office - CVE-2006-1316. Office présente une vulnérabilité d’exécution de code à distance qu’il est possible d’exploiter lorsqu’une chaîne mal formée dans un fichier Office est traitée par une des applications Office touchées. Une telle chaîne pourrait être incluse dans une pièce jointe de message électronique traitée par l’une des applications touchées ou hébergée sur un site Web malveillant. L’affichage ou la prévisualisation d’un message électronique mal formé dans une version touchée d’Outlook ne pourrait pas mener à l’exploitation de cette vulnérabilité. Un pirate pourrait exploiter cette vulnérabilité en élaborant un fichier Office spécialement conçu qui pourrait permettre l’exécution de code à distance.

Vulnérabilité d’analyse de chaînes de caractères mal formées dans Microsoft Office - CVE-2006-1540. Office présente une vulnérabilité d’exécution de code à distance qu’il est possible d’exploiter lorsqu’une chaîne mal formée dans un fichier Office est traitée par une des applications Office touchées. Une telle chaîne pourrait être incluse dans une pièce jointe de message électronique traitée par l’une des applications touchées ou hébergée sur un site Web malveillant. L’affichage ou la prévisualisation d’un message électronique mal formé dans une version touchée d’Outlook ne pourrait pas mener à l’exploitation de cette vulnérabilité. Un pirate pourrait exploiter cette vulnérabilité en élaborant un fichier Office spécialement conçu qui pourrait permettre l’exécution de code à distance.

Vulnérabilité de propriété dans Microsoft Office - CVE-2006-2389. Office présente une vulnérabilité d’exécution de code à distance qu’il est possible d’exploiter lorsqu’une propriété mal formée dans un fichier Office est traitée par une des applications Office touchées. Une telle propriété pourrait être incluse dans une pièce jointe de message électronique traitée par l’une des applications touchées ou hébergée sur un site Web malveillant. L’affichage ou la prévisualisation d’un message électronique mal formé dans une version touchée d’Outlook ne pourrait pas mener à l’exploitation de cette vulnérabilité. Un pirate pourrait exploiter cette vulnérabilité en élaborant un fichier Office spécialement conçu qui pourrait permettre l’exécution de code à distance.

Répercussions de la vulnérabilité : Exécution de code à distance

Indice de gravité maximal de Microsoft : Critique

Logiciels touchés

• Microsoft Office 2003 Service Pack 1 ou Service Pack 2
  • Microsoft Access 2003
  • Microsoft Excel 2003
  • Microsoft Excel 2003 Viewer
  • Microsoft FrontPage 2003
  • Microsoft InfoPath 2003
  • Microsoft OneNote 2003
  • Microsoft Outlook 2003
  • Microsoft PowerPoint 2003
  • Microsoft Project 2003
  • Microsoft Publisher 2003
  • Microsoft Visio 2003
  • Microsoft Word 2003
  • Microsoft Word 2003 Viewer
• Microsoft Office XP Service Pack 3
  • Microsoft Access 2002
  • Microsoft Excel 2002
  • Microsoft FrontPage 2002
  • Microsoft Outlook 2002
  • Microsoft PowerPoint 2002
  • Microsoft Publisher 2002
  • Microsoft Visio 2002
  • Microsoft Word 2002
• Microsoft Office 2000 Service Pack 3
  • Microsoft Access 2000
  • Microsoft Excel 2000
  • Microsoft FrontPage 2000
  • Microsoft Outlook 2000
  • Microsoft PowerPoint 2000
  • Microsoft Publisher 2000
  • Microsoft Word 2000
• Microsoft Project 2002 Service Pack 2
• Microsoft Visio 2002 Service Pack 2
• Microsoft Project 2000 Service Release 1
• Microsoft Office 2004 pour Mac
• Microsoft Office v. X pour Mac

Mesure recommandée

SPPCC recommande que les administrateurs testent et installent la mise à jour le plus rapidement possible.
http://www.microsoft.com/technet/security/Bulletin/MS06-038.mspx

MS06-039 : Des vulnérabilités dans certains filtres Microsoft Office pourraient permettre l’exécution de code à distance (915384).

Évaluation

Vulnérabilité d’exécution de code à distance liée à l’utilisation d’un fichier PNG mal formé dans Microsoft Office - CVE-2006-0033. Office présente une vulnérabilité d’exécution de code à distance qui pourrait être exploitée lorsqu’un fichier PNG mal formé est ouvert dans Office. Un pirate pourrait exploiter cette vulnérabilité en élaborant un fichier PNG spécialement conçu qui pourrait permettre l’exécution de code à distance.

Vulnérabilité d’exécution de code à distance liée à l’utilisation d’un fichier GIF mal formé dans Microsoft Office CVE-2006-0007. Office présente une vulnérabilité d’exécution de code à distance qui pourrait être exploitée lorsqu’un fichier GIF mal formé est ouvert dans Office. Un pirate pourrait exploiter cette vulnérabilité en élaborant un fichier GIF spécialement conçu qui pourrait permettre l’exécution de code à distance.

Répercussions de la vulnérabilité : Exécution de code à distance

Indice de gravité maximal de Microsoft : Critique

Logiciels touchés

• Microsoft Office 2003 Service Pack 1 ou Service Pack 2
  • Microsoft Project 2003
  • OneNote 2003
• Microsoft Office XP Service Pack 3
• Microsoft Office 2000 Service Pack 3
• Microsoft Project 2002
• Microsoft Project 2000
• Microsoft Works Suites:
  • Microsoft Works Suite 2004
  • Microsoft Works Suite 2005
  • Microsoft Works Suite 2006

Mesure recommandée

SPPCC recommande que les administrateurs testent et installent la mise à jour le plus rapidement possible.
http://www.microsoft.com/technet/security/Bulletin/MS06-039.mspx

Avis aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) recueille des renseignements concernant les menaces et les incidents cybernétiques contre les infrastructures essentielles du Canada. Cela nous permet de surveiller et d'analyser les menaces, de même que de diffuser des alertes, des avis de sécurité et d’autres produits d’information. Pour signaler des menaces ou des incidents, veuillez communiquer avec le Centre des opérations du gouvernement (COG) au 613-991-7000 ou à l'adresse cog-goc@sppcc-psepc.gc.ca.

L'utilisation non autorisée de systèmes informatiques et les méfaits en matière de données constituent de graves infractions au Code criminel canadien. Toute activité criminelle présumée doit être signalée aux autorités policières locales. Le Centre national des opérations (CNO) de la Gendarmerie royale du Canada (GRC) reçoit de tels rapports 24 heures sur 24 et 7 jours sur 7 ou réachemine les appels aux autorités policières locales. On peut rejoindre le CNO au 613-993-4460. Les préoccupations liées à la sécurité nationale doivent être transmises au Service canadien du renseignement de sécurité (SCRS) au (613) 993-9620.

En cas de questions urgentes, ou pour signaler des incidents, veuillez communiquer avec le Centre des opérations du gouvernement au:

Téléphone :    613-991-7000
Télécopieur :  613-996-0995
Télécopieur sécuritaire : 613-991-7094
Courriel :     goc-cog@sppcc.gc.ca

Pour des renseignements généraux sur la protection des infrastructures essentielles et la protection civile, veuillez communiquer avec la direction des Affaires publiques du SPPCC:

Téléphone : 613-944-4875 ou 1-800-830-3118
Télécopieur : 613-998-9589
Courriel : communications@sppcc.gc.ca