Correctif disponible résolvant le problème de sécurité des demandes envoyées à l'Agent DDE réseau

Traductions disponibles Traductions disponibles
Numéro d'article: 285851 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F285851
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Agrandir tout | Réduire tout

Symptômes

Microsoft a publié un correctif qui élimine un problème de sécurité dans Microsoft Windows 2000. Un utilisateur malveillant pouvait prendre le contrôle complet d'un ordinateur affecté par ce problème.

DDE (Network Dynamic Data Exchange) désigne une technologie qui permet à des programmes sur différents ordinateurs Windows, de partager des données. Ce partage de données s'effectue à l'aide de canaux de communication appelés partages approuvés, qui sont gérés par un service appelé l'Agent DDE réseau. De par la conception même de l'Agent, les processus de l'ordinateur local peuvent prélever des demandes auprès de l'Agent DDE réseau, y compris ceux qui indiquent le programme à exécuter conjointement avec un partage approuvé en particulier. Toutefois, un problème de sécurité demeure dans Windows 2000, car l'Agent DDE réseau s'exécute à l'aide du contexte de sécurité du système local et traite toutes les demandes à l'aide de ce contexte plutôt que celui de l'utilisateur. Ceci donnerait l'opportunité à un utilisateur malveillant d'obliger l'Agent DDE réseau à exécuter un code dans le contexte du système local. Par ce biais, un utilisateur malveillant pourrait obtenir un contrôle total de l'ordinateur local.

Pour profiter de cette lacune, l'utilisateur malveillant doit pouvoir exécuter un code sur l'ordinateur concerné par ce problème. Toutefois, en pratique, il est fortement recommandé de ne jamais autoriser des utilisateurs non privilégiés d'exécuter un code sur des ordinateurs névralgiques dans le système de sécurité, tels que les contrôleurs de domaine et autres serveurs. Si ces recommandations ont été suivies, l'utilisation de tels ordinateurs est sans risque. Par ailleurs, les ordinateurs qui exécutent des services Terminal Server ne sont pas concernés par ce problème de sécurité (sauf dans le cas où des utilisateurs non privilégiés sont autorisés à se connecter à la console, ce qui n'est jamais recommandé). De par ces limitations, les postes de travail sont les plus concernés par ce problème de sécurité. Les dommages occasionnés par ce problème devraient être limités, car dans la plupart des cas, même le contrôle total d'un poste de travail ne concède aucun privilège supplémentaire dans le domaine.

Microsoft recommande aux utilisateurs qui travaillent sur des postes de travail Windows 2000 ou qui autorisent des utilisateurs non privilégiés à exécuter du code sur des serveurs Windows 2000, d'appliquer ce correctif immédiatement. Par mesure de sécurité supplémentaire, les utilisateurs qui travaillent sur des serveurs Web Windows 2000, doivent envisager l'application de correctifs à ces ordinateurs. Si un utilisateur malveillant parvient à exécuter un code dans un contexte restreint sur un serveur Web en profitant d'une autre lacune, celle-ci fournira un moyen d'augmenter immédiatement les privilèges de l'utilisateur malveillant, ce qui engendrera des dommages plus importants.

Résolution

Un correctif est désormais disponible auprès de Microsoft, mais est conçu uniquement pour corriger le problème décrit dans cet article, et ne doit être appliqué qu'aux systèmes susceptibles de subir une attaque. Évaluez l'accessibilité physique de votre ordinateur, la connectivité Internet, et les autres facteurs pour déterminer le niveau de risque de votre ordinateur. Reportez-vous au : bulletin de sécurité Microsoft correspondant pour vous aider à faire cette évaluation. Ce correctif peut recevoir des modifications supplémentaires à tout moment, pour augmenter la qualité du produit. Toutefois, si votre ordinateur présente des risques élevés, Microsoft vous recommande d'appliquer ce correctif maintenant. Sinon, attendez la prochaine version du Service Pack de Windows 2000 qui contiendra ce correctif.

Pour résoudre ce problème immédiatement, télécharger le correctif en suivant les instructions ci-après ou contactez les Services de Support technique Microsoft. Vous trouverez toutes les informations relatives aux numéros de téléphone et coûts d'assistance à l'adresse suivante :

http://support.microsoft.com/directory/overview.asp
REMARQUE : Dans certains cas, aucun frais de support technique par téléphone ne vous sera facturé si un technicien du Support technique Microsoft détermine qu'une mise à jour spécifique peut résoudre votre problème. Les frais de support technique concernent les questions et problèmes supplémentaires qui n'entrent pas dans le cadre de la mise à jour en question.

Les fichiers ci-après sont disponibles en téléchargement sur le Centre de téléchargement Microsoft.
Anglais (États-Unis) :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_en.exe maintenant

Arabe :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_ar.exe maintenant

Chinois (simplifié) :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_cn.exe maintenant

Chinois (traditionnel) :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_tw.exe maintenant

Tchèque :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_cs.exe maintenant

Danois :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_da.exe maintenant

Néerlandais :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_nl.exe maintenant

Finnois :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_fi.exe maintenant

Français :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_fr.exe maintenant

Allemand :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_de.exe maintenant

Grec :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_el.exe maintenant

Hébreu :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_ew.exe maintenant

Hongrois :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_hu.exe maintenant

Italien :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_it.exe maintenant

Japonais :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_ja.exe maintenant

Japonais (NEC) :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_NEC98_ja.exe maintenant

Coréen :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_ko.exe maintenant

Norvégien :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_no.exe maintenant

Polonais :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_pl.exe maintenant

Portugais :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_pt.exe maintenant

Portugais (Brésil) :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_br.exe maintenant

Russe :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_ru.exe maintenant

Espagnol :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_es.exe maintenant

Suédois :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_sv.exe maintenant

Turc :
Réduire cette imageAgrandir cette image

Télécharger
Télécharger Q285851_W2K_SP3_x86_tr.exe maintenant
Pour plus d'informations sur le téléchargement des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
119591 Procédures pour obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a utilisé le logiciel de détection de virus le plus récent dès sa publication pour analyser ce fichier contre les virus. Une fois publié, le fichier est hébergé sur des serveurs sécurisés qui empêchent toute modification non autorisée sur ce fichier.

La version anglaise de ce correctif doit disposer des attributs de fichier suivants ou de ceux d'une version ultérieure :
   Date        Heure  Version        Taille   Nom de fichier
   ----------------------------------------------------------
   19/01/2001  18:29  5.0.2195.3174  178 448  Winlogon.exe

Statut

Microsoft a confirmé l'existence de ce problème dans Microsoft Windows 2000.

Plus d'informations

Pour plus d'informations sur ce problème de sécurité, consultez le site Web Microsoft à l'adresse suivante :
http://www.microsoft.com/technet/security/bulletin/ms01-007.asp
Pour plus d'informations sur les procédures d'installation de Windows 2000 et des correctifs pour Windows 2000 en même temps, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
249149 Installation de Microsoft Windows 2000 et des correctifs pour Windows 2000

Propriétés

Numéro d'article: 285851 - Dernière mise à jour: lundi 24 février 2014 - Version: 2.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Professionel
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbnosurvey kbarchive kbbug kbfix kbwin2000presp3fix kbgraphxlinkcritical kbqfe kbwin2000sp3fix kbhotfixserver KB285851
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com