===================================================================== CERT-Renater Note d'Information No. 2010/VULN357 _____________________________________________________________________ DATE : 15/09/2010 HARDWARE PLATFORM(S) : / OPERATING SYSTEM(S) : Windows XP, Server 2003, Vista et Server 2008 ====================================================================== http://www.microsoft.com/france/technet/security/bulletin/MS10-063.mspx ______________________________________________________________________ Synthèse Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le processeur de scripts Unicode. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur affichait un document ou une page Web spécialement conçu avec une application prenant en charge des polices Embedded OpenType. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. Cette mise à jour de sécurité est de niveau « critique » pour toutes les éditions en cours de support de Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008 et de niveau « important » pour Microsoft Office XP, Microsoft Office 2003 et Microsoft Office 2007. Pour plus d'informations, consultez la sous-section « Logiciels concernés et non concernés » plus loin dans ce Bulletin. Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Windows traite des caractéristiques spécifiques de polices OpenType. Pour obtenir plus d'informations sur la vulnérabilité, consultez la sous-section « Forum aux questions » spécifique à chaque vulnérabilité, dans la section « Informations par vulnérabilité ». Recommandation. La majorité de nos clients chez lesquels les mises à jour automatiques sont activées n'auront pas besoin d'entreprendre de nouvelle action car cette mise à jour de sécurité sera téléchargée et installée automatiquement. Nos clients chez lesquels les mises à jour automatiques ne sont pas activées doivent rechercher les mises à jour et les installer manuellement. Pour plus d'informations sur les options de configuration spécifiques des mises à jour automatiques, consultez l'Article 294871 de la Base de connaissances Microsoft. Pour les administrateurs et les installations d'entreprise, ou pour les utilisateurs souhaitant installer cette mise à jour de sécurité manuellement, Microsoft recommande d'appliquer cette mise à jour immédiatement à l'aide d'un logiciel de gestion des mises à jour ou en recherchant les mises à jour à l'aide du service Microsoft Update. Consultez également la section « Outils de détection, de déploiement et Conseils » dans ce même Bulletin. Problèmes connus : L'Article 2320113 de la Base de connaissances Microsoft décrit les problèmes connus auxquels les clients peuvent être confrontés lors de l'installation de cette mise à jour de sécurité. Cet article documente également les solutions palliatives recommandées. Lorsque les problèmes connus et les solutions palliatives recommandées concernent uniquement certaines versions spécifiques du logiciel, cet article fournit les liens vers les articles respectifs. ====================================================================== ========================================================= Les serveurs de référence du CERT-Renater http://www.urec.fr/securite http://www.cru.fr/securite http://www.renater.fr ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 151 bd de l'Hopital | fax : 01-53-94-20-41 + + 75013 Paris | email: certsvp@renater.fr + =========================================================