MS10-090 : Mise à jour de sécurité cumulative pour Internet Explorer

Microsoft a publié le bulletin de sécurité MS10-090. Pour consulter la totalité du bulletin de sécurité, reportez-vous au site Web de Microsoft à l'une des adresses suivantes :

• Utilisateurs grand public :
  http://www.microsoft.com/france/securite/updates/bulletins/201012.aspx

  (http://www.microsoft.com/france/securite/updates/bulletins/201012.aspx)
  Ignorer les détails : Téléchargez les mises à jour pour votre ordinateur privé ou portable à partir du site Web Microsoft Update maintenant :
  http://www.update.microsoft.com/microsoftupdate/

  (http://www.update.microsoft.com/microsoftupdate/)
• Professionnels de l'informatique :
  http://www.microsoft.com/france/technet/security/bulletin/MS10-090.mspx

  (http://www.microsoft.com/france/technet/security/bulletin/MS10-090.mspx)

Procédure pour obtenir une assistance pour cette mise à jour de sécurité

Pour les particuliers, une assistance gratuite est disponible en appelant 1-866-PCSAFETY aux États-Unis et au Canada ou en contactant la filiale Microsoft de votre pays. Pour plus d'informations sur la façon de contacter votre filiale Microsoft locale pour des questions relatives à la prise en charge des mises à jour de sécurité, reportez-vous au site Web du support international Microsoft à l'adresse suivante : Les clients d'Amérique du Nord peuvent également accéder instantanément à une assistance gratuite illimitée par messagerie électronique ou à une assistance individuelle illimitée sous la forme d'une discussion en se reportant au site Web de Microsoft à l'adresse suivante : Pour les entreprises, l'assistance relative aux mises à jour de sécurité se fait via les contacts habituels de support.

Problèmes connus avec cette mise à jour de sécurité

Remarque Les problèmes suivants sont résolus par la mise à jour de sécurité 2482017. Pour plus d'informations, cliquez sur le numéro d'article suivant pour afficher l'article correspondant dans la Base de connaissances Microsoft : Après avoir installé cette mise à jour de sécurité, vous devrez peut-être également installer la mise à jour 2467659. Pour déterminer si vous devez installer la mise à jour 2467659, passez en revue les problèmes connus dans la liste suivante :

• Cette mise à jour de sécurité contient un correctif qui désactive la détection automatique du codage JIS (Japanese Industrial Standard). Toutefois, certains logiciels utilisent un composant dans Internet Explorer pour interpréter les messages électroniques en japonais au format HTML. Par conséquent, le contenu du message électronique peut s'afficher sous la forme de code illisible. Ce problème se produit car le codage JIS n'est pas automatiquement détecté. Pour résoudre ce problème, installez la mise à jour 2467659
  (http://support.microsoft.com/kb/2467659/fr)
  .
• Lorsque vous imprimez ou affichez la page d'aperçu avant impression d'une page Web concernée par ce problème dans Internet Explorer, des caractères non identifiables peuvent apparaître dans l'aperçu avant impression et sur les documents imprimés. Ce problème se produit même si vous appuyez sur la touche F5 pour recharger le site Web.
• Après l'installation de cette mise à jour de sécurité, vous serez peut-être invité à l'installer à nouveau lors de l'analyse du système à l'aide de Windows Update, de Microsoft Update, du serveur Microsoft Windows Server Update Services (WSUS) ou de Microsoft Baseline Security Analyzer (MBSA). Ce problème peut se produire si vous avez installé cette mise à jour de sécurité, mais pas la mise à jour 2467659. Pour résoudre ce problème, acceptez l'installation de la mise à jour 2467659 dans WSUS ou installez la mise à jour 2467659
  (http://support.microsoft.com/kb/2467659/fr)
  à partir de Windows Update, de Microsoft Update ou du Centre de téléchargement Microsoft.
• Une fois la mise à jour de sécurité installée, il se peut que certains sites Web JIS (Japan Industrial Standard) ne s'affichent pas correctement dans Internet Explorer. Ce problème peut se produire si les sites Web JIS ne spécifient pas le codage JIS dans les en-têtes HTTP. Par exemple, le site Web spécifie uniquement le codage JIS dans une balise Meta.
  
  Pour résoudre ce problème, appliquez l'une des méthodes suivantes :

  Solution de contournement du côté du serveur

  Pour contourner ce problème côté serveur, l'administrateur du site Web peut configurer la page Web pour utiliser l'en-tête HTTP suivante :
  

  Content-Type: text/html;charset=iso-2022-jp

  
  
  

  Solutions de contournement du côté du client

  Utilisez l'une des méthodes suivantes sur l'ordinateur client pour contourner ce problème :
  • Pour contourner ce problème lors de l'affichage d'un site Web, appuyez sur F5 pour actualiser la page.
  • Vous pouvez également supprimer les entrées DWORD Iexplore.exe et explore.exe du Registre de l'ordinateur client pour débloquer la détection automatique du JIS.
    
    Avertissement Cette solution de contournement peut rendre un ordinateur ou un réseau plus vulnérable aux attaques d'utilisateurs malintentionnés ou de logiciels nuisibles tels que des virus. Cette solution de contournement n'est pas recommandée ; nous vous indiquons toutefois la marche à suivre si vous souhaitez l'appliquer. Vous assumez l'ensemble des risques liés à cette solution de contournement. De manière spécifique, si vous supprimez les entrées DWORD Iexplore.exe et explore.exe du Registre, il se peut que le système soit encore plus vulnérable aux problèmes de sécurité décrits dans CVE-2010-3342 et CVE-2010-3348. Pour plus d'informations, consultez le bulletin de sécurité suivant :
    http://www.microsoft.com/france/technet/security/bulletin/MS10-090.mspx

    (http://www.microsoft.com/france/technet/security/bulletin/MS10-090.mspx)
    Le bulletin de sécurité offre des informations supplémentaires sur le problème dans les sections suivantes :
    • Vulnérabilité liée à la divulgation d'informations inter-domaine - CVE-2010-3342
    • Vulnérabilité liée à la divulgation d'informations inter-domaine - CVE-2010-3348
    Il s'agit des informations suivantes :
    • Facteurs atténuants
    • Solutions de contournement
    • Forum aux questions
    Important Cette section, méthode ou tâche explique la procédure de modification du Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    322756

    (http://support.microsoft.com/kb/322756/fr/ )

    Comment faire pour sauvegarder et restaurer le Registre dans Windows
    
    Pour supprimer les entrées DWORD Iexplore.exe et Explore.exe du Registre, procédez comme suit :
    1. Cliquez sur Démarrer
       Réduire cette imageAgrandir cette image

       
       , tapez regedit dans la zone Rechercher, puis cliquez sur regedit.exe dans la liste Programmes.
       
       
       Réduire cette imageAgrandir cette image

       
       Si vous êtes invité à entrer un mot de passe administrateur ou à confirmer une opération, entrez votre mot de passe ou cliquez sur Continuer.
    2. Recherchez la sous-clé de Registre suivante et cliquez dessus :
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_DISABLE_ISO_2022_JP_SNIFFING
    3. Cliquez avec le bouton droit sur Iexplore.exe, puis cliquez sur Supprimer.
    4. Cliquez sur Oui pour vérifier.
    5. Cliquez avec le bouton droit sur Explore.exe, puis cliquez sur Supprimer.
    6. Cliquez sur Oui pour vérifier.
    7. Quittez l'Éditeur du Registre, puis redémarrez l'ordinateur.
    Pour plus d'informations sur la sous-clé de Registre FEATURE_DISABLE_ISO_2022_JP_SNIFFING, reportez-vous à l'article suivant dans la Base de connaissances Microsoft :
    2467659

    (http://support.microsoft.com/kb/2467659/fr/ )

    Une mise à jour est disponible pour Internet Explorer : 14 décembre 2010

Mise à jour 2467659

Pour plus d'informations sur la mise à jour 2467659, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft : Pour installer la mise à jour 2467659, reportez-vous au site Web de Microsoft à l'adresse suivante :

Correctifs non liés à la sécurité inclus dans cette mise à jour de sécurité

Correctifs GDR (General distribution release)

Des mises à jour individuelles peuvent être ou ne pas être installées, en fonction de la version de Windows et de celle de l'application affectée. Consultez les articles correspondants pour déterminer l'état de votre mise à jour.

Correctifs logiciels

Les packages de mises à jour de sécurité 2416400 pour Windows XP et Windows Server 2003 incluent les fichiers de correctif logiciel pour Internet Explorer et des fichiers GDR (General Distribution Release). Si aucun fichier Internet Explorer existant ne provient de l'environnement de correctif logiciel, la mise à jour de sécurité 2416400 installe les fichiers GDR.

Les correctifs logiciels sont conçus pour résoudre uniquement les problèmes décrits dans les articles associés de la Base de connaissances Microsoft. Ne les appliquez qu'aux systèmes sur lesquels vous constatez ces problèmes spécifiques.

Ces correctifs logiciels peuvent être soumis à des tests supplémentaires. Par conséquent, si vous n'êtes pas gravement touché par ce problème, il est recommandé d'attendre le prochain Service Pack qui contiendra ces correctifs. Pour plus d'informations sur la façon d'installer les correctifs logiciels inclus dans la mise à jour de sécurité 2416400, cliquez sur le numéro ci-dessous pour afficher l'article correspondant de la Base de connaissances Microsoft.
Remarque En plus d'installer des fichiers de correctif logiciel, consultez l'article de la Base de connaissances Microsoft associé au correctif logiciel spécifique que vous devez installer pour déterminer la modification du Registre requise pour activer ce correctif logiciel.

Pour plus d'informations sur la façon de déterminer si les fichiers Internet Explorer existants proviennent du correctif logiciel ou de l'environnement GDR, cliquez sur le numéro ci-dessous pour afficher l'article correspondant de la Base de connaissances Microsoft.

Les solutions de réparation décrites dans cette section ne doivent pas être utilisées en remplacement de mises à jour de sécurité. Nous vous recommandons de toujours installer les dernières mises à jour de sécurité. Nous proposons toutefois cette solution pour contourner le problème dans certains cas.  Ces solutions de réparation permettent de résoudre le problème de sécurité décrit dans CVE-2010-3962. Pour plus d'informations sur le problème de sécurité et les solutions de contournement, consultez la page Web du bulletin de sécurité Microsoft suivant : Le bulletin de sécurité offre d'autres informations sur le problème dans la section « Vulnérabilité liée à la corruption de mémoire non initialisée - CVE-2010-3962 ». Il s'agit des informations suivantes :

• Facteurs atténuants
• Solutions de contournement
• Forum aux questions

Deux solutions sont disponibles :

• Solution de réparation destinée aux feuilles CSS définies par l'utilisateur
  Cette solution de réparation permet aux versions prises en charge d'Internet Explorer de remplacer le style des feuilles CSS d'un site Web à l'aide d'une feuille de style en cascade personnalisée en vue de la mise en forme des documents.
  
  Pour supprimer les feuilles CSS définies par l'utilisateur et restaurer les paramètres d'origine, cliquez sur le bouton Résolution ou sur le lien sous l'en-tête Supprimer les feuilles CSS définies par l'utilisateur dans la section « Solution de réparation destinée aux feuilles CSS définies par l'utilisateur ».
  
• Solution de réparation destinée à la prévention de l'exécution des données dans Internet Explorer 7
  Nous avons créé une base de données de compatibilité des applications qui autorisera la prévention de l'exécution des données pour toutes les versions d'Internet Explorer qui prennent en charge la prévention de l'exécution des données.
  
  Pour installer cette base de données de compatibilité des applications, cliquez sur le bouton Résolution dans la section « Solution de réparation destinée à la prévention de l'exécution des données dans Internet Explorer 7 ».

Solution de réparation destinée aux feuilles CSS définies par l'utilisateur

Pour activer ou désactiver automatiquement la solution de contournement destinée aux feuilles CSS définies par l'utilisateur, cliquez sur le bouton Résolution ou sur le lien sous l'en-tête Appliquer les feuilles CSS définies par l'utilisateur ou Supprimer les feuilles CSS définies par l'utilisateur. Cliquez sur Exécuter dans la boîte de dialogue Téléchargement de fichier, puis suivez la procédure indiquée par l'Assistant Résolution.

Remarques

• Ces Assistants peuvent n'exister qu'en anglais. Toutefois, les résolutions automatiques fonctionnent aussi pour d'autres versions linguistiques de Windows.
• Si vous n'êtes pas connecté à l'ordinateur pour lequel le problème existe, vous pouvez enregistrer la solution automatique sur un lecteur flash ou sur un CD-ROM et ensuite l'exécuter sur l'ordinateur concerné par le problème.
• Si vous décidez de ne pas installer la mise à jour de sécurité actuelle mais d'utiliser la solution de contournement décrite dans le bulletin de sécurité MS10-090, vous pouvez cliquer sur le Résolution pour activer ou désactiver l'application des feuilles CSS définies par l'utilisateur.

Problèmes connus avec la solution de réparation destinée aux feuilles CSS définies par l'utilisateur

• Dans certains scénarios, la stratégie de groupe peut bloquer l'installation de cette solution de réparation sur les systèmes exécutant Windows Server 2008 ou Windows Server 2008 R2. En cas de problème, un message d'erreur semblable à celui qui suit peut s'afficher :
  
  L'administrateur système a défini des stratégies pour empêcher cette installation.
  
  Contactez l'administrateur système pour plus d'informations sur la façon de modifier la stratégie pour autoriser l'installation.
• Il se peut que vous ne parveniez pas à installer cette solution si une sous-clé de Registre Styles se trouve à l'emplacement suivant dans le Registre :
  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles
  Pour résoudre ce problème, supprimez la sous-clé de Registre Styles, puis installez la solution de réparation. 
  
  Remarque : vous pouvez exporter la sous-clé de Registre Styles, puis réimporter la clé après avoir installé la solution de réparation. Pour ce faire, procédez comme suit :
  1. Cliquez avec le bouton droit sur la sous-clé de Registre Styles, puis cliquez sur Exporter.
  2. Nommez le fichier .REG temporaire, puis enregistrez-le sur le Bureau.
  3. Cliquez avec le bouton droit sur la sous-clé de Registre Styles, puis cliquez sur Supprimer la clé. Cliquez sur Oui pour vérifier.
  4. Installez la solution de réparation.
  5. Double-cliquez sur le fichier .REG temporaire que vous avez enregistré sur le Bureau pour importer la sous-clé de Registre. Cliquez sur Oui pour vérifier.

Solution de réparation destinée à la prévention de l'exécution des données dans Internet Explorer 7

Pour activer ou désactiver automatiquement la prévention de l'exécution des données dans Internet Explorer 7, cliquez sur le bouton Fix it ou sur le lien. Cliquez sur Exécuter dans la boîte de dialogue Téléchargement de fichier, puis suivez la procédure indiquée par l'Assistant Résolution.
Remarques

• Vous n'avez pas besoin de cette base de données si vous utilisez Internet Explorer 8 sous Windows XP Service Pack 3 (SP3), sous Windows Vista SP1 ou sur des versions ultérieures de Windows car Internet Explorer 8 utilise par défaut la prévention de l'exécution des données sur ces plateformes.
• Si vous décidez de ne pas installer la mise à jour de sécurité actuelle mais d'utiliser la solution de contournement décrite dans MS10-018, vous pouvez cliquer sur le bouton Résolution pour activer ou désactiver la prévention de l'exécution des données. Ensuite, cliquez sur Exécuter dans la boîte de dialogue Téléchargement de fichier et suivez les étapes indiquées dans l'Assistant.
• Ces Assistants peuvent n'exister qu'en anglais. Toutefois, les résolutions automatiques fonctionnent aussi pour d'autres versions linguistiques de Windows.
• Si vous n'êtes pas connecté à l'ordinateur pour lequel le problème existe, vous pouvez enregistrer la solution de réparation sur un lecteur flash ou sur un CD-ROM et ensuite l'exécuter sur l'ordinateur concerné par le problème.
• Pour que cette solution de contournement s'applique, votre processeur doit prendre en charge la prévention de l'exécution des données sur le matériel. Pour plus d'informations sur la façon de déterminer si votre système prend en charge la prévention de l'exécution de données sur le matériel, cliquez sur le numéro de l'article de la Base de données Microsoft suivant :
  912923

  (http://support.microsoft.com/kb/912923/fr/ )

  Comment faire pour déterminer que la prévention d'exécution des données par voie matérielle est disponible et configurée sur votre ordinateur

Pour obtenir une liste des fichiers fournis dans ces packages, cliquez sur le lien suivant : Si vous avez un doute sur la version exécutée de Windows ou si vous ignorez s'il s'agit d'une version 32 bits ou 64 bits, ouvrez Informations système (Msinfo32.exe), puis recherchez la valeur indiquée pour l'élément Type de système. Pour cela, procédez comme suit :

1. Cliquez sur Démarrer, puis sur Exécuter ou Rechercher.
2. Tapez msinfo32.exe et appuyez sur Entrée.
3. Dans Informations système, recherchez la valeur indiquée pour l'élément Type du système.
   • Pour les éditions 32 bits de Windows, la valeur de l'élément Type est PC à base x86.
   • Pour les éditions 64 bits de Windows, la valeur de l'élément Type est PC à base x64.

Pour plus d'informations sur la façon de déterminer si vous utilisez une édition 32 bits ou 64 bits de Windows, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.