Toutes les versions support\u00e9es de Microsoft Windows sont affect\u00e9es \u00e0 l'exception des \u00e9ditions Core de Windows Server 2008 et Windows Serveur 2008 R2 qui ne sont pas affect\u00e9es par cette vuln\u00e9rabilit\u00e9.
","closed_at":"2011-12-14","content":"## Description\n\nLe logiciel malveillant Duqu se propage notamment via l'exploitation\nd'une vuln\u00e9rabilit\u00e9 non corrig\u00e9e dans les polices TrueType. \u00c0 ce jour,\nle code malveillant utilise pour vecteur un document Microsoft Word mais\ntoute application reposant sur la fonctionnalit\u00e9 des polices embarqu\u00e9es\nest potentiellement vuln\u00e9rable.\n\nPour mettre en \u0153uvre son code d'exploitation, l'attaquant va int\u00e9grer \u00e0\nun document une police malveillante dont le chargement par le syst\u00e8me va\nd\u00e9clencher l'ex\u00e9cution de code arbitraire.\n\nEnfin, il est important de prendre en compte les diff\u00e9rents vecteurs que\nla plateforme Windows propose en terme de transport de polices de\ncaract\u00e8res.\n\nLa technologie Embedded Open Type (EOT) permet d'int\u00e9grer des polices\nTrueType \u00e0 des documents HTML. Lors de l'ouverture d'une page Web,\nInternet Explorer va ouvrir le conteneur EOT et d\u00e9clencher le chargement\npar Windows de la police TrueType contenue provoquant alors l'ex\u00e9cution\nde code arbitraire. Internet Explorer est le seul navigateur \u00e0 supporter\nla technologie Embedded Open Type.\n\nAu moment de la publication de cet avis, seuls des contournements\nprovisoires sont disponibles. Une mise \u00e0 jour de s\u00e9curit\u00e9 serait en\ncours de d\u00e9veloppement par Microsoft.\n\n## Contournement provisoire\n\nLe contournement propos\u00e9 par Microsoft repose sur le blocage des\nfonctionnalit\u00e9s de polices embarqu\u00e9es (T2EMBED.DLL).\n\nLes polices embarqu\u00e9es, par exemple dans un document, ne sont alors plus\ntransmises au composant Windows vuln\u00e9rable en charge des polices\nTrueType. Le d\u00e9ploiement du contournement implique que les applications\nutilisant cette technologie conna\u00eetront des probl\u00e8mes d'affichage et/ou\nd'impression, les polices embarqu\u00e9es n'\u00e9tant plus utilisables.\n\nCe d\u00e9ploiement peut \u00eatre r\u00e9alis\u00e9 par script ou via un paquetage de type\nFixIt.\n\nCe contournement est aussi d\u00e9ployable par strat\u00e9gies de groupe.\n\nLe CERTA recommande de tester ce contournement avant tout d\u00e9ploiement \u00e0\ngrande \u00e9chelle (notamment installation, fonctionnalit\u00e9s de base et\nd\u00e9sinstallation).\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 MS011-087 de l'\u00e9diteur pour les\nd\u00e9tails d'obtention des correctifs (cf. section Documentation).\n","cves":[{"name":"CVE-2011-3402","url":"https://www.cve.org/CVERecord?id=CVE-2011-3402"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS11-087 du 13 d\u00e9cembre 2011 :","url":"http://technet.microsoft.com/en-us/security/bulletin/MS11-087"},{"title":"Fiche de support technique 2639658 relatif au paquetage FixIt\u00a0:","url":"http://support.microsoft.com/kb/2639658/fr"},{"title":"Article de bloc-notes (blog) de Symantec sur l'installateur Duqu\u00a0:","url":"http://www.symantec.com/connect/w32-duqu_status-updates_installer-zero-day-exploit"},{"title":"Avis du CERTA CERTA-2011-AVI-684 du 14 d\u00e9cembre 2011 :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-684"},{"title":"Bulletin de s\u00e9curit\u00e9 Microsoft MS11-087 du 13 d\u00e9cembre 2011 :","url":"http://technet.microsoft.com/fr-fr/security/bulletin/MS11-087"}],"reference":"CERTA-2011-ALE-006","revisions":[{"description":"documentation des vecteurs HTML bas\u00e9s sur la technologie Embedded Open Type.","revision_date":"2011-11-04T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence CVE.","revision_date":"2011-11-09T00:00:00.000000"},{"description":"ajout du correctif Microsoft.","revision_date":"2011-12-14T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Symantec et le Laboratory of Cryptography and\nSystem Security (CrySys) ont d\u00e9couvert une vuln\u00e9rabilit\u00e9 non\ncorrig\u00e9e et exploit\u00e9e sur l'Internet par le logiciel malveillant Duqu.\nMicrosoft a publi\u00e9 un avis de s\u00e9curit\u00e9 2639658 d\u00e9taillant les mesures de\nprotection imm\u00e9diates pouvant \u00eatre mises en \u0153uvre.\n","title":"Exploitation d'une vuln\u00e9rabilit\u00e9 dans la gestion des polices TrueType sur Windows","vendor_advisories":[{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 Microsoft 2639658","url":"http://technet.microsoft.com/fr-fr/security/advisory/2639658"}]}