Multiples vulnérabilités de produits Microsoft

Risque

Exécution de code arbitraire à distance ;
déni de service.

Systèmes affectés

Suite bureautique Microsoft Office versions 2000SP3, 2002SP2, 2002SP3, 2003SP1, 2003SP2 ;
Suite bureautique Mac Office versions v.X et 2004 ;
Works versions 8.0 et 8.5 ;
Wordpad toutes versions ;
Internet Explorer et famille Outlook.

Résumé

De multiples vulnérabilités affectent certains produits de l'éditeur Microsoft. Ces vulnérabilités peuvent être exploitées par un utilisateur mal intentionné afin de provoquer un déni de service ou une exécution de code arbitraire à distance sur la machine cible. Des codes malveillants exploitant certaines de ces vulnérabilités sont disponibles sur l'Internet.

Description

Un grand nombre de vulnérabilités révélées publiquement affectent la gamme Office. Ces vulnérabilités peuvent être exploitées par le biais de documents malicieusement contruits dont l'ouverture peut provoquer l'exécution de commandes dans le contexte utilisateur.
Plusieurs autres vulnérabilités ont été découvertes dans des versions d'Internet Explorer. Ces vulnérabilités permettent à un attaquant de compromettre le navigateur, directement ou par le biais d'une dll vulnérable (vgx.dll). Cette bibliothèque est utilisée pour prendre en compte le format VML (Vector Markup Vector Language). Ce format fondé sur le langage XML est utilisé pour éditer certaines images. Deux vecteurs d'attaques sont possibles :
- via une page HTML spécifiquement conçue pour exploiter la faille d'Internet Explorer ;
- via des messages électroniques qui seraient lus à l'aide des clients de la famille d'Outlook avec prise en compte du langage HTML. Des messages malicieux se propagent déja sur l'Internet.
Comme cela a été déja souligné à de nombreuses reprises par le CERTA, il est fortement recommandé de désactiver par défaut les options ActiveX et les scripts en général en choisissant éventuellement leur activation pour les sites de confiance nécessitant l'usage de tels composants ou programmes.

Un bulletin de sécurité Microsoft annonce officiellement une vulnérabilité dans MS Office Word 2000. Une référence CVE est associée à cette vulnérabilité, qui est exploitée actuellement par du code malveillant.

Contournement provisoire

Suite bureautique MS-Office: N'ouvrir que les documents bureautiques de confiance, et utiliser une suite bureautique alternative à jour (OpenOffice, par exemple).
Internet Explorer 1: Utiliser un navigateur alternatif à jour (Mozilla, Firefox, Opéra, etc...)
Internet Explorer 2: Désactiver les options ActiveX, les scripts (cf. bulletin d'actualité du CERTA)
Internet Explorer 3 et Outlook: Désactiver la bibliothèque vgx.dll :
regsvr32.exe "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" -u

Une mise à jour de sécurité, publiée par Microsoft, est désormais disponible. Elle permet de corriger une des vulnérabilités citées dans ce bulletin d'alerte, en l'occurence celle présente dans la bibliothèque vgx.dll. Un bulletin de sécurité du CERTA reprend cette vulnérabilité ainsi que la solution associée.

Se référer à l'avis du CERTA référencé CERTA-2006-AVI-410 du 27 septembre 2006 diponible à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-410/index.html

Solution

Se référer aux bulletins de sécurité de l'éditeur pour obtenir les mises à jour (cf. Documentation).

Documentation

Bulletin de sécurité Microsoft 925059 :

http://www.microsoft.com/technet/security/advisory/925059.mspx

Bulletin de sécurité Microsoft 925444 :

http://www.microsoft.com/technet/security/advisory/925444.mspx

Bulletin de sécurité Microsoft 925568 :

http://www.microsoft.com/technet/security/advisory/925568.mspx

Bulletin de mise à jour Microsoft MS06-055 :

http://www.microsoft.com/technet/security/bulletin/MS06-055.mspx

Bulletin de mise à jour Microsoft MS06-058 :

http://www.microsoft.com/technet/security/bulletin/MS06-058.mspx

Bulletin de mise à jour Microsoft MS06-059 :

http://www.microsoft.com/technet/security/bulletin/MS06-059.mspx

Bulletin de mise à jour Microsoft MS06-060 :

http://www.microsoft.com/technet/security/bulletin/MS06-060.mspx

Bulletin de mise à jour Microsoft MS06-062 :

http://www.microsoft.com/technet/security/bulletin/MS06-062.mspx

Avis du CERTA numeros CERTA-2006-AVI-410, CERTA-2006-AVI-438, CERTA-2006-AVI-439, CERTA-2006-AVI-440, CERTA-2006-AVI-442 :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-410/index.html

http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-438/index.html

http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-439/index.html

http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-440/index.html

http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-442/index.html

Bulletin d'actualité (N°37)du CERTA :

http://www.certa.ssi.gouv.fr/site/certa-2006-ACT-037.pdf

Bulletin d'actualité (N°27)du CERTA :

http://www.certa.ssi.gouv.fr/site/certa-2006-ACT-027.pdf

Bulletin d'actualité (N°30)du CERTA :

http://www.certa.ssi.gouv.fr/site/certa-2006-ACT-030.pdf

Référence CVE CVE-2006-4534 :

https://www.cve.org/CVERecord?id=CVE-2006-4534

Référence CVE CVE-2006-3866 :

https://www.cve.org/CVERecord?id=CVE-2006-3866

Référence	CERTA-2006-ALE-011-006
Titre	Multiples vulnérabilités de produits Microsoft
Date de la première version	31 août 2006
Date de la dernière version	11 octobre 2006
Source(s)	Aucune Pièce(s) jointe(s)
Pièce(s) jointe(s)	Aucune(s)

Bulletin d'alerte du CERT-FR

Objet: Multiples vulnérabilités de produits Microsoft

Gestion du document