Sécurité publique et Protection civile Canada - Public Safety and Emergency Preparedness Canada
Skip all menus (access key: 2) Skip first menu (access key: 1)
English Contactez-nous Aide Recherche Site du Canada
À notre sujet Politiques Recherches Programmes Actualités
Sécurité publique et Protection civile Canada
Accueil

INFORMATION POUR LES...
Citoyens
Collectivités
Gouvernements
Entreprises
Premiers intervenants
Enseignants
AUTRES VOIES...
Index de A à Z
Plan du site
Organigramme

DOSSIERS...
SecuriteCanada.ca
S'attaquer au crime
Semaine PC
Divulgation proactive


Version imprimableVersion imprimable
Envoyez cette page par courrielEnvoyer cette page

Accueil Programmes Gestion des urgences Intervention CCRIC Diffusions analytiques2 AV06-043 : Bulletins de sécurité Microsoft de MS06-056 à MS06-065

Bulletins de sécurité Microsoft de MS06-056 à MS06-065

Mise à jour de l'avis AV06-043
Date : Le 19 octobre 2006

Cette mise à jour est distribuée afin de vous aviser que, le 19 octobre 2006, Microsoft a mis à jour le bulletin de sécurité MS06-061 : Des vulnérabilités des services essentiels XML de Microsoft pourraient permettre l’exécution de code à distance (924191).

Microsoft a publié à nouveau une version ciblée de la mise à jour MS06-061 pour Windows 2000. Alors que la version initiale de cette mise à jour de sécurité protégeait contre toutes les vulnérabilités discutées dans le bulletin, elle ne donnait pas au bit d’invaliadation de Microsoft XML Parser 2.6 une valeur appropriée. La nouvelle version de MS06-061 pour Windows 2000 protège contre toutes les vulnérabilités discutées dans le bulletin et elle règle correctement le bit d’invalidation de Microsoft XML Parser 2.6.

Pour plus de renseignements, aller à :

http://support.microsoft.com/kb/924191

http://www.microsoft.com/technet/security/bulletin/ms06-061.mspx

Numéro : AV06-043
Date : 10 octobre 2006

Objet

Cet avis a pour objet d'attirer votre attention sur des vulnérabilités (six critiques, une grave, deux de gravité moyenne et une de faible importance) décelées dans certains produits de Microsoft.

MS06-056 : Une vulnérabilité d’ASP.NET 2.0 risque d’autoriser la divulgation d’information (922770)

Évaluation

Vulnérabilité de .NET Framework 2.0 aux scripts inter-sites - CVE-2006-3436 :

Les serveurs exécutant une version touchée de .Net Framework 2.0 sont exposés à une vulnérabilité aux scripts inter-sites qui risque d’entraîner l’insertion d’un script côté client dans le navigateur de l’utilisateur. Ce script pourrait falsifier du contenu, divulguer de l’information ou exécuter des actions que l’utilisateur pourrait lui-même exécuter sur le site Web visé. L’exploitation de cette vulnérabilité nécessite l’intervention de l’utilisateur.

Type de vulnérabilité : Divulgation d’information

Indice de gravité maximal : Moyen

Logiciels et composants concernés :

  • Microsoft Windows 2000 Service Pack
  • Microsoft Windows XP Service Pack 1 ou Windows XP Service Pack 2
  • Microsoft Windows XP Professionnel Édition x64
  • Microsoft Windows XP Édition Tablet PC
  • Microsoft Windows XP Édition Media Center
  • Microsoft Windows Server 2003 ou Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 pour systèmes Itanium ou Windows Server 2003 SP1 pour systèmes Itanium
  • Microsoft Windows Server 2003 Édition x64
  • Microsoft .NET Framework 2.0

Mesure suggérée

SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion.

http://www.microsoft.com/technet/security/bulletin/ms06-056.mspx

MS06-057 : Une vulnérabilité de l’Explorateur Windows risque d’autoriser l’exécution de code à distance (923191)

Évaluation

Vulnérabilité de l’environnement de Windows à l’exécution de code à distance - CVE-2006-3730 :

L’environnement de Windows est exposé au risque d’exécution de code à distance en raison de la validation inadéquate des paramètres d’entrée lorsqu’il est appelé par le contrôle ActiveX WebViewFolderIcon (Web View). Cette vulnérabilité risque de permettre l’exécution de code à distance si un utilisateur consulte un site Web ou un courriel créé à cette fin. Un pirate pourrait exploiter cette vulnérabilité en hébergeant un site Web contenant une page servant à exploiter cette vulnérabilité. Une personne qui réussirait à exploiter cette faille pourrait contrôler entièrement le système touché.

Type de vulnérabilité : Exécution de code à distance

Indice de gravité maximal : Critique

Logiciels et composants concernés :

  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows XP Service Pack 1 et Service Pack 2
  • Microsoft Windows XP Professionnel Édition x64
  • Microsoft Windows Server 2003 et Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 pour systèmes Itanium et Microsoft Windows Server 2003 SP1 pour systèmes Itanium
  • Microsoft Windows Server 2003 Édition x64

Mesure suggérée

SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion.

http://www.microsoft.com/technet/security/bulletin/ms06-057.mspx

MS06-058 : Des vulnérabilités de Microsoft PowerPoint risquent d’autoriser l’exécution de code à distance (924163)

Évaluation

Le logiciel PowerPoint est touché par diverses vulnérabilités pouvant entraîner l’exécution de code à distance :

Vulnérabilité relative à un objet pointeur mal formé dans PowerPoint - CVE-2006-3435

Vulnérabilité relative à un enregistrement de données mal formé dans PowerPoint - CVE-2006-3876

Vulnérabilité à l’altération de mémoire attribuable à un enregistrement mal formé dans PowerPoint - CVE-2006-3877

Vulnérabilité à un enregistrement mal formé dans PowerPoint - CVE-2006-4694

Type de vulnérabilité : Exécution de code à distance

Indice de gravité maximal : Critique

Logiciels et composants concernés :

  • Microsoft PowerPoint 2000 - Microsoft Office 2000 Service Pack 3
  • Microsoft PowerPoint 2002 - Microsoft Office XP Service Pack 3
  • Microsoft Office PowerPoint 2003 - Microsoft Office 2003 Service Pack 1 ou Service Pack 2
  • Microsoft Office v. X pour Mac - Microsoft PowerPoint 2004 pour Mac
  • Microsoft PowerPoint v. X pour Mac - Microsoft Office v. X pour Mac

Mesure suggérée

SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion.

http://www.microsoft.com/technet/security/bulletin/ms06-058.mspx

MS06-059 : Des vulnérabilités de Microsoft Excel risquent d’autoriser l’exécution de code à distance (924164)

Évaluation

Le logiciel Excel est touché par diverses vulnérabilités pouvant entraîner l’exécution de code à distance :

  • Vulnérabilité relative à un enregistrement DATETIME mal formé dans Excel - CVE-2006-2387
  • Vulnérabilité relative à un enregistrement STYLE mal formé dans Excel - CVE-2006-3431
  • Vulnérabilité relative au traitement des fichiers Lotus 1-2-3 dans Excel - CVE-2006-3867
  • Vulnérabilité relative à un enregistrement COLINFO mal formé dans Excel - CVE-2006-3875

Type de vulnérabilité : Exécution de code à distance

Indice de gravité maximal : Critique

Logiciels et composants concernés :

  • Microsoft Excel 2000 - Microsoft Office 2000 Service Pack 3
  • Microsoft Excel 2002 - Microsoft Office XP Service Pack 3
  • Microsoft Office Excel et Visionneuse 2003 - Microsoft Office 2003 Service Pack 1 ou Service Pack 2
  • Microsoft Excel 2004 pour Mac - Microsoft Office 2004 pour Mac
  • Microsoft Excel v. X pour Mac - Microsoft Office v. X pour Mac
  • Suites Microsoft Works 2004, 2005 et 2006

Mesure suggérée

SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion.

http://www.microsoft.com/technet/security/bulletin/ms06-059.mspx

MS06-060 : Des vulnérabilités de Microsoft Word risquent d’autoriser l’exécution de code à distance (924554)

Évaluation

Le logiciel Word est touché par diverses vulnérabilités pouvant entraîner l’exécution de code à distance :

  • Vulnérabilité de Microsoft Word - CVE-2006-3647
  • Vulnérabilité relative à la fonction de fusion et publipostage dans Microsoft Word - CVE-2006-3651
  • Vulnérabilité relative à une pile mal formée dans Microsoft Word - CVE-2006-4534
  • Vulnérabilité de Microsoft Word pour Mac - CVE-2006-4693

Type de vulnérabilité : Exécution de code à distance

Indice de gravité maximal : Critique

Logiciels et composants concernés :

  • Microsoft Word 2000 - Microsoft Office 2000 Service Pack 3
  • Microsoft Word 2002 - Microsoft Office XP Service Pack 3
  • Microsoft Office Word et Visionneuse 2003 - Microsoft Office 2003 Service Pack 1 ou Service Pack 2
  • Suites Microsoft Works 2004, 2005 et 2006
  • Microsoft Office v. X pour Mac - Microsoft Office 2004 pour Mac

Mesure suggérée

SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion.

http://www.microsoft.com/technet/security/bulletin/ms06-060.mspx

MS06-061: Des vulnérabilités de Microsoft XML Core Services risquent d’autoriser l’exécution de code à distance (924191)

Évaluation

L’exploitation de ces vulnérabilités pourrait entraîner la divulgation d’information (par exemple, les données d’identification) et l’exécution de code à distance. L’intervention de l’utilisateur est requise.

  • Vulnérabilité de Microsoft XML Core Services - CVE-2006-4685
  • Vulnérabilité relative au dépassement du tampon XSLT - CVE-2006-4686

Type de vulnérabilité : Exécution de code à distance

Indice de gravité maximal : Critique

Logiciels et composants concernés :

  • Microsoft XML Parser 2.6 (toutes les versions) et Microsoft XML Core Services 3.0 (toutes les versions) sous Windows 2000 Service Pack 4
  • Microsoft XML Parser 2.6 (toutes les versions) et Microsoft XML Core Services 3.0 (toutes les versions) sous Microsoft Windows XP Service Pack 1
  • Microsoft XML Parser 2.6 (toutes les versions) et Microsoft XML Core Services 3.0 (toutes les versions) sous Microsoft Windows XP Service Pack 2
  • Microsoft XML Parser 2.6 (toutes les versions) et Microsoft XML Core Services 3.0 (toutes les versions) sous Microsoft Windows XP Professionnel Édition x64
  • Microsoft XML Parser 2.6 (toutes les versions) et Microsoft XML Core Services 3.0 (toutes les versions) sous Microsoft Windows Server 2003
  • Microsoft XML Parser 2.6 (toutes les versions) et Microsoft XML Core Services 3.0 (toutes les versions) sous Microsoft Windows Server 2003 Service Pack 1
  • Microsoft XML Parser 2.6 (toutes les versions) et Microsoft XML Core Services 3.0 (toutes les versions) sous Microsoft Windows Server 2003 pour systèmes Itanium et Microsoft Windows Server 2003 SP1 pour systèmes Itanium
  • Microsoft XML Parser 2.6 (toutes les versions) et Microsoft XML Core Services 3.0 (toutes les versions) sous Microsoft Windows Server 2003 Édition x64
  • Microsoft Office 2003 Service Pack 1 ou Service Pack 2 avec Microsoft XML Core Services 5.0 Service Pack 1
  • Microsoft XML Core Services 4.0 sous Windows 2000 Service Pack 4
  • Microsoft XML Core Services 4.0 sous Microsoft Windows XP Service Pack 1 et Microsoft Windows XP Service Pack 2
  • Microsoft XML Core Services 4.0 sous Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1
  • Microsoft XML Core Services 6.0 sous Windows 2000 Service Pack 4
  • Microsoft XML Core Services 6.0 sous Microsoft Windows XP Service Pack 1 et Microsoft Windows XP Service Pack 2
  • Microsoft XML Core Services 6.0 sous Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1

Mesure suggérée

SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion.

http://www.microsoft.com/technet/security/bulletin/ms06-061.mspx

MS06-062 : Des vulnérabilités de Microsoft Office risquent d’entraîner l’exécution de code à distance (922581)

Évaluation

La suite Microsoft Office est touchée par diverses vulnérabilités pouvant entraîner l’exécution de code à distance :

  • Vulnérabilité relative à l’accès mémoire erroné dans Office - CVE-2006-3434
  • Vulnérabilité relative à un enregistrement de diagramme mal formé dans Office - CVE-2006-3650
  • Vulnérabilité à l’altération de mémoire attribuable à un enregistrement mal formé dans Office - CVE-2006-3864
  • Vulnérabilité relative à l’analyse des balises intelligentes dans Microsoft Office - CVE-2006-3868

Type de vulnérabilité : Exécution de code à distance

Indice de gravité maximal : Critique

Logiciels et composants concernés :

  • Microsoft Office 2000 Service Pack 3
  • Microsoft Office XP Service Pack 3
  • Microsoft Office 2003 Service Pack 1 ou Service Pack 2
  • Microsoft Project 2000 Service Release 1
  • Microsoft Project 2002 Service Pack 1
  • Microsoft Visio 2002 Service Pack 2
  • Microsoft Office 2004 pour Mac
  • Microsoft Office v. X pour Mac

Mesure suggérée

SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion.

http://www.microsoft.com/technet/security/bulletin/ms06-062.mspx

MS06-063 : Une vulnérabilité du service Serveur risque d’entraîner un déni de service (923414)

Évaluation

Le service Serveur est vulnérable au déni de service et à l’exécution de code à distance nécessitant des données d’identification :

  • Vulnérabilité du service Serveur au déni de service - CVE-2006-3942
  • Vulnérabilité relative à la fonction Renommer dans SMB - CVE-2006-4696

Type de vulnérabilité : Déni de service

Indice de gravité maximal : Grave

Logiciels et composants concernés :

  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows XP Service Pack 1 et Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP Professionnel Édition x64
  • Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 pour systèmes Itanium et Microsoft Windows Server 2003 SP1 pour systèmes Itanium
  • Microsoft Windows Server 2003 Édition x64

Mesure suggérée

SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion.

http://www.microsoft.com/technet/security/bulletin/ms06-063.mspx

MS06-064 : Des vulnérabilités de la pile TCP/IP IPv6 risquent d’entraîner un déni de service (922819)

Évaluation

Diverses implantations du protocole IPv6 dans le système d’exploitation Windows sont vulnérables au déni de service :

  • Vulnérabilité relative à la réinitialisation de la connexion ICMP - CVE-2004-0790
  • Vulnérabilité relative à la réinitialisation de la connexion TCP - CVE-2004-0230
  • Vulnérabilité relative à la demande de réinitialisation de connexion falsifiée - CVE-2005-0688

Type de vulnérabilité : Déni de service

Indice de gravité maximal : Faible

Logiciels et composants concernés :

  • Microsoft Windows XP Service Pack 1 et Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP Professionnel Édition x64
  • Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 pour systèmes Itanium et Microsoft Windows Server 2003 SP1 pour systèmes Itanium
  • Microsoft Windows Server 2003 Édition x64

Mesure suggérée

SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion.

http://www.microsoft.com/technet/security/bulletin/ms06-064.mspx

 

MS06-065 : Une vulnérabilité de Windows Object Packager risque d’entraîner l’exécute de code à distance (924496)

Évaluation

Vulnérabilité relative à la falsification de boîtes de dialogue d’Object Packager - CVE-2006-4692:

Le programme Windows Object Packager est vulnérable à l’exécution de code à distance en raison de la façon dont les extensions de fichier sont traitées. L’intervention de l’utilisateur est requise.

Type de vulnérabilité : Exécution de code à distance

Indice de gravité maximal : Moyen

Logiciels et composants concernés :

  • Microsoft Windows XP Service Pack 1 et Service Pack 2
  • Microsoft Windows XP Professionnel Édition x64
  • Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 pour systèmes Itanium et Microsoft Windows Server 2003 SP1 pour systèmes Itanium
  • Microsoft Windows Server 2003 Édition x64

Mesure suggérée

SPPCC recommande aux administrateurs de tester et d’installer la mise à jour à la première occasion.

http://www.microsoft.com/technet/security/bulletin/ms06-065.mspx

Avis aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) recueille des renseignements concernant les menaces et les incidents cybernétiques contre les infrastructures essentielles du Canada. Cela nous permet de surveiller et d'analyser les menaces, de même que de diffuser des alertes, des avis de sécurité et d’autres produits d’information. Pour signaler des menaces ou des incidents, veuillez communiquer avec le Centre des opérations du gouvernement (COG) au 613-991-7000 ou à l'adresse cog-goc@sppcc.gc.ca.

L'utilisation non autorisée de systèmes informatiques et les méfaits en matière de données constituent de graves infractions au Code criminel canadien. Toute activité criminelle présumée doit être signalée aux autorités policières locales. Le Centre national des opérations (CNO) de la Gendarmerie royale du Canada (GRC) reçoit de tels rapports 24 heures sur 24 et 7 jours sur 7 ou réachemine les appels aux autorités policières locales. On peut rejoindre le CNO au 613-993-4460. Les préoccupations liées à la sécurité nationale doivent être transmises au Service canadien du renseignement de sécurité (SCRS) au 613-993-9620.

En cas de questions urgentes, ou pour signaler des incidents, veuillez communiquer avec le Centre des opérations du gouvernement au:

Téléphone : 613-991-7000
Télécopieur : 613-996-0995
Télécopieur sécuritaire : 613-991-7094
Courriel : cog-goc@sppcc.gc.ca

Pour des renseignements généraux sur la protection des infrastructures essentielles et la protection civile, veuillez communiquer avec la direction des Affaires publiques du SPPCC:

Téléphone : 613-944-4875 ou 1-800-830-3118
Télécopieur : 613-998-9589
Courriel : communications@sppcc.gc.ca

Haut de la page
Mise à jour : 2006-10-19 Haut de la page Avis importants