MS02-069 : Un défaut dans la machine virtuelle Microsoft peut compromettre Windows

Traductions disponibles Traductions disponibles
Numéro d'article: 810030
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Agrandir tout | Réduire tout

Sommaire

Symptômes

La machine virtuelle Microsoft est une machine virtuelle pour l'environnement Win32. La machine virtuelle Microsoft est fournie avec la plupart des versions de Windows et de Microsoft Internet Explorer.

Une nouvelle version de la machine virtuelle Microsoft est disponible. Elle comprend tous les correctifs précédemment publiés et résout huit problèmes de sécurité supplémentaires récemment signalés. Les vecteurs d'attaque de tous les nouveaux problèmes sont en général identiques. Un utilisateur malveillant peut créer un site Web qui, lorsqu'il est ouvert, exploite la faille de sécurité et héberge le vecteur d'attaque sur un site Web ou l'envoie à un utilisateur sous la forme d'un message électronique HTML.

Les problèmes de sécurité récemment signalés sont les suivants :
  • Une faille de sécurité qui fait qu'une applet Java non sécurisée peut accéder à des objets COM (Component Object Model)

    De par leur conception, les objets COM exposent une fonctionnalité. Par conséquent, ils ne doivent être accessibles qu'aux programmes Java dignes de confiance. Certains objets COM procurent une fonctionnalité par laquelle un utilisateur malveillant peut assumer le contrôle du système.
  • Une paire de failles de sécurité qui peuvent déguiser l'emplacement réel auquel fait référence l'attribut de code base de l'applet

    Bien que chaque faille de sécurité ait une cause sous-jacente différente, leur effet potentiel est identique. De par leur conception, les applets Java qui résident sur un stockage utilisateur ou un partage réseau ont un accès en lecture sur le dossier dans lequel elles résident et sur tous ses sous-dossiers. Ces failles de sécurité procurent une méthode par laquelle une applet située sur un site Web peut déguiser son emplacement réel dans son attribut de code base. Cela signifie que l'applet semble résider sur le système local de l'utilisateur ou sur un partage réseau plutôt qu'à son emplacement réel.
  • Une faille de sécurité qui peut permettre à un utilisateur malveillant de créer une URL qui, lorsqu'elle est analysée, charge une applet Java à partir d'un site Web mais la signale comme appartenant à un autre site Web

    Ce défaut permet à l'applet de l'utilisateur malveillant de s'exécuter dans le domaine de l'autre site. Toutes les informations fournies à cette applet par l'utilisateur peuvent être transmises à l'agresseur.
  • Une faille de sécurité qui permet à une applet de modifier le contenu d'une base de données

    Ce problème se produit car la machine virtuelle Microsoft n'empêche pas les applets d'appeler les API JDBC, un ensemble d'API qui procurent des méthodes d'accès aux bases de données. De par leur conception, ces API permettent d'ajouter, de modifier et de supprimer le contenu d'une base de données ; en outre, elles ne sont soumises qu'aux autorisations de l'utilisateur.
  • Une faille de sécurité grâce à laquelle un utilisateur malveillant peut empêcher momentanément le chargement et l'exécution d'objets Java spécifiques

    Le Gestionnaire de sécurité standard, un mécanisme de sécurité de version antérieure, permet à l'utilisateur d'imposer des restrictions sur les applets Java (y compris d'interdire leur exécution). Toutefois, la machine virtuelle Microsoft ne contrôle pas correctement l'accès au Gestionnaire de sécurité standard ; en conséquence, l'applet d'un utilisateur malveillant peut ajouter d'autres objets Java à la liste des objets "interdis".
  • Une faille de sécurité grâce à laquelle un utilisateur malveillant peut découvrir le nom d'utilisateur d'un utilisateur sur l'ordinateur local de celui-ci

    Cette faille de sécurité est due au fait que la propriété système user.dir est accessible aux applets non approuvées. Bien que la simple connaissance d'un nom d'utilisateur ne pose pas vraiment un risque pour la sécurité, un utilisateur malveillant peut juger ces informations utiles à des fins de reconnaissance.
  • Une faille de sécurité due au fait qu'une applet Java peut effectuer une instanciation incomplète d'un autre objet Java

    Cela provoque l'échec du programme conteneur (Internet Explorer).

Résolution

Pour résoudre ce problème, installez le package "810030 : Mise à jour de la sécurité de la machine virtuelle". Cette mise à jour met à niveau la machine virtuelle Microsoft vers la version 5.00.3809. Toutes les versions de la machine virtuelle Microsoft antérieures à 5.00.3809 sont concernées par les problèmes mentionnés dans la section "Symptômes" de cet article.

Emplacement de la mise à jour

Pour obtenir la mise à jour, reportez-vous à la section "Mises à jour critiques" du site Web Microsoft Windows Update à l'adresse suivante :
http://v4.update.microsoft.com/fr/default.asp
Les administrateurs peuvent télécharger cette mise à jour à partir du Catalogue Windows Update pour la déployer sur plusieurs ordinateurs sur lesquels la machine virtuelle Microsoft est déjà installée. Si vous souhaitez obtenir cette mise à jour pour l'installer ultérieurement sur plusieurs ordinateurs, effectuez une recherche sur le numéro de référence de l'article suivant en utilisant la recherche avancée dans le Catalogue Windows Update. Pour plus d'informations sur la façon de télécharger des mises à jour à partir du Catalogue Windows Update, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
323166 COMMENT FAIRE : Télécharger des mises à jour Windows et des pilotes à partir du Catalogue Windows Update
Remarque La version Windows 2000 de la machine virtuelle Microsoft nécessite le Service Pack 2 Windows 2000 ou version ultérieure et elle ne peut être installée sur aucun autre système exploitation. Pour télécharger cette mise à jour pour Windows 2000, sélectionnez le système d'exploitation Windows 2000 avec le Service Pack 2 installé ou Windows 2000 avec le Service Pack 3 installé.

Pour télécharger cette mise à jour pour Windows XP, Windows NT 4.0, Windows Millennium Edition, Windows 98 Deuxième Édition ou Windows 98, sélectionnez le système d'exploitation Windows XP, Windows Millennium Edition ou Windows 98.

Remarque Les ordinateurs Windows NT 4.0 ne disposent pas de l'accès au Catalogue Windows Update. Si vous devez télécharger un package Windows NT 4.0 pour l'installer sur plusieurs ordinateurs ou ultérieurement, accédez au Catalogue Windows Update au moyen d'un ordinateur qui exécute Windows 98, Windows Millennium Edition, Windows 2000, Windows XP ou Windows Server 2003, puis sélectionnez le système d'exploitation Windows 98, Windows Millennium Edition ou Windows XP. Cette mise à jour de la sécurité peut également être installée sur les ordinateurs Windows NT 4.0. Les administrateurs qui n'ont pas accès à un ordinateur Windows XP, Windows 98, Windows Millennium Edition, Windows 2000 ou Windows Server 2003 permettant d'utiliser le Catalogue Windows Update peuvent contacter les services de Support technique Microsoft pour obtenir le correctif. Pour obtenir la liste complète des numéros de téléphone des services de Support technique Microsoft et des informations sur les frais engendrés, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://support.microsoft.com/default.as px?scid=fh;FR;ASSISTEDOVER

Informations sur l'installation

Cette mise à jour ne peut être installée que sur les ordinateurs sur lesquels est déjà installée une version antérieure de la machine virtuelle Microsoft. Pour plus d'informations sur la façon d'installer la machine virtuelle Microsoft en mode silencieux sans redémarrage de l'ordinateur, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
304930 Comment faire pour installer la machine virtuelle Microsoft en mode silencieux sans redémarrage de l'ordinateur

Informations sur les fichiers

La version anglaise de ce correctif dispose des attributs de fichier (ou ceux d'une version ultérieure) répertoriés dans le tableau suivant. Les date et heure de création de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations des fichiers, les données sont converties à l'heure locale. Pour connaître le décalage entre l'heure GMT et l'heure locale, utilisez l'onglet Fuseau horaire dans l'utilitaire Date et heure du Panneau de configuration.
 Date      Heure  Version         Taille     Nom de fichier
 ----------------------------------------------------------
 20/03/02  11:52                      2 678  Classes.cer
 18/11/02  14:07                  5 751 849  Classes.zip
 18/11/02  14:11  5.0.3809.0        404 752  Javart.dll
 18/11/02  14:09  5.0.3809.0        172 304  Jview.exe
 18/11/02  14:11  5.0.3809.0        947 984  Msjava.dll
 20/03/02  11:52                      2 678  Msjdbc.cer
 18/11/02  14:07                    137 482  Msjdbc.zip
 29/05/01  00:58                     10 957  Osp.zip 
Remarque Après l'installation de la machine virtuelle mise à jour, tous les fichiers .zip ont un nom différent. Ce comportement est voulu par la conception même du produit et peut être ignoré. Notez également que seuls certains fichiers du package Zip ont été modifiés pour cette version. Toutefois, ces fichiers ne peuvent pas être installés séparément.

Statut

Microsoft a confirmé que ce problème pouvait entraîner une certaine faille de sécurité dans la machine virtuelle Microsoft.

Plus d'informations

Pour déterminer la version de la machine virtuelle Microsoft sur un ordinateur Windows 98, Windows 98 Deuxième Édition ou Windows Millennium Edition, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez command, puis cliquez sur OK.
  3. À l'invite de commandes, tapez jview, puis appuyez sur ENTRÉE. Notez que les informations de version apparaissent sur la première ligne sous la forme "Version n.nn.nnnn", où les quatre derniers chiffres nnnn correspondent au numéro de version. Par exemple, 5.00.3802 correspond à la version 3802 de la machine virtuelle Microsoft.
Pour déterminer le numéro de version de la machine virtuelle Microsoft sur un ordinateur Windows NT 4.0, Windows 2000 ou Windows XP, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd, puis cliquez sur OK.
  3. À l'invite de commandes, tapez la commande suivante, puis appuyez sur ENTRÉE :
    jview
    Notez que les informations de version apparaissent sur la première ligne sous la forme "Version n.nn.nnnn, " où les quatre derniers chiffres nnnn correspondent au numéro de version. Par exemple, 5.00.3802 correspond à la version 3802 de la machine virtuelle Microsoft.
Pour plus d'informations sur ce problème de sécurité, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://www.microsoft.com/technet/security/bulletin/MS02-069.mspx

Propriétés

Numéro d'article: 810030 - Dernière mise à jour: jeudi 3 février 2011 - Version: 6.5
Mots-clés : 
kbbug kbfix kbsecbulletin kbsecurity kbsecvulnerability kbqfe KB810030
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com