MS03-008 : Un défaut dans le moteur de script Windows peut permettre l'exécution de code

Traductions disponibles Traductions disponibles
Numéro d'article: 814078 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Agrandir tout | Réduire tout

Sommaire

Symptômes

Un utilisateur malveillant peut exploiter un défaut existant dans le moteur de script Windows en créant une page Web qui, lorsqu'elle reçoit la visite d'un utilisateur, exécute le code choisi par l'utilisateur malveillant à l'aide des informations d'identification de l'utilisateur visiteur. L'utilisateur malveillant peut héberger une page Web sur un site Web ou envoyer la page directement à l'utilisateur par messagerie électronique.

Cause

Ce problème se produit car il existe un défaut dans la façon dont le moteur de script Windows pour JScript traite les informations.

Résolution

Informations sur le Service Pack Windows XP

Pour résoudre ce problème, procurez-vous le dernier Service Pack Windows XP. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
322389 Comment faire pour se procurer le dernier Service Pack Windows XP

Informations sur la mise à jour

Pour résoudre ce problème, vous pouvez installer une mise à jour. Vous devez installer la mise à jour qui correspond à la version du système d'exploitation que vous utilisez et à la version de JScript qui est installée. Pour déterminer la version de Jscript installée sur votre ordinateur, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez %windir%\system32, puis cliquez sur OK.

    Remarque Pour les installations Microsoft Windows 98, tapez %windir%\system, puis cliquez sur OK.
  2. Dans la fenêtre system32, ou la fenêtre System si vous utilisez Windows 98, recherchez le fichier Jscript.dll.
  3. Cliquez avec le bouton droit sur le fichier Jscript.dll, puis cliquez sur Propriétés.
  4. Cliquez sur l'onglet Version.

    La version de fichier est indiquée sur la première ligne d'informations qui figure sous l'onglet Version.
Après avoir déterminé la version de JScript installée, cliquez sur le lien de téléchargement qui est spécifique à la version de votre système d'exploitation. Consultez ensuite la section Instructions de la page de téléchargement pour plus d'informations sur la version de la mise à jour de sécurité JScript à installer.

Vous pouvez télécharger les fichiers suivants à partir du Centre de téléchargement Microsoft :
Windows XP et Windows 2000
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package 814078 maintenant
Windows NT 4.0 et Windows NT 4.0, Édition Terminal Server
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package 814078 maintenant
Windows Millennium Edition
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package 814078 maintenant
Windows 98 Deuxième Édition et Windows 98
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package 814078 maintenant
Date de publication : 19 mars 2003

Pour plus d'informations sur la façon de télécharger des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
119591 Comment faire pour obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a analysé ce fichier en vue de détecter la présence de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication de ce fichier. Le fichier est conservé sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier.

Conditions préalables

Réduire ce tableauAgrandir ce tableau
Système d'exploitationConfiguration minimale
Windows XPWindows XP ou Service Pack 1 Windows XP
Windows 2000Service Pack 2 ou 3 Windows 2000
Windows NT 4.0 Édition Terminal ServerService Pack 6 Windows NT 4.0 Édition Terminal Server
Windows NT 4.0Service Pack 6a Windows NT 4.0
Windows Millennium Edition Windows Millennium Edition
Windows 98 Deuxième Édition Windows 98 Deuxième Édition
Windows 98Windows 98
Pour plus d'informations sur la façon d'obtenir le dernier Service Pack Windows XP, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
322389 Comment faire pour obtenir le dernier Service Pack Windows XP
Pour plus d'informations sur la façon d'obtenir le dernier Service Pack Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
260910 Comment faire pour obtenir le dernier Service Pack Windows 2000

Pour plus d'informations sur la façon d'obtenir le dernier Service Pack Windows NT 4.0, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
152734 Comment faire pour obtenir le dernier Service Pack Windows NT 4.0

Informations sur l'installation

Cette mise à jour prend en charge les commutateurs d'installation suivants.
Réduire ce tableauAgrandir ce tableau
CommutateurDescription
/?Affiche la liste des commutateurs d'installation.
/qUtilise le mode silencieux (sans intervention de l'utilisateur).
/t: chemin_completIndique un dossier de travail temporaire.
/c Extraction uniquement. Utilisé avec /t.
/c: cmdIgnore la commande d'installation définie par l'auteur.
/rContrôle ou force le redémarrage. (Voir les exemples suivants.)
Par exemple, la commande suivante installe la mise à jour avec une intervention minimale de l'utilisateur et n'empêche pas l'ordinateur de redémarrer :
js56nen /q /r:n
Pour installer la mise à jour avec intervention minimale de l'utilisateur et redémarrer de façon silencieuse sans demander à l'utilisateur :
js56nen /q /r:s
Remarque Le fichier mis à jour ne sera pas totalement installé. Par conséquent, la faille de sécurité sera toujours présente tant que l'ordinateur n'aura pas été redémarré. Pour plus d'informations sur les commutateurs de ligne de commande, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
197147 Commutateurs de ligne de commande pour les packages de mise à jour logicielle IExpress

Informations sur la suppression

JScript étant un fichier système et un composant protégé, il est impossible de le supprimer.

Nécessité d'un redémarrage

Vous devez redémarrer votre ordinateur après avoir appliqué cette mise à jour.

Informations sur le remplacement de correctif logiciel

Cette mise à jour n'en remplace pas d'autre.

Informations sur le fichier

La version anglaise de ce correctif logiciel possède les attributs de fichier indiqués dans le tableau suivant ou ceux d'une version ultérieure. Les date et heure de création de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations des fichiers, les données sont converties à l'heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire de l'utilitaire Date et heure du Panneau de configuration.

Selon la version de JScript installée (5.1, 5.5 ou 5.6), l'un des fichiers suivants sera présent dans le dossier %WINDIR%\System32.
   Date     Heure  Version      Taille    Nom de fichier
  ------------------------------------------------------
  13/01/03  20:57  5.6.0.8513  589 881       Jscript.dll
  13/01/03  18:53  5.5.0.8513  553 020       Jscript.dll
  14/01/03  14:58  5.1.0.8513  487 481       Jscript.dll

Statut

Microsoft a confirmé que ce problème de sécurité pouvait se traduire par une certaine vulnérabilité des produits Microsoft répertoriés dans la liste des produits concernés.

Windows XP

Ce problème a été corrigé pour la première fois dans Microsoft Windows XP Service Pack 2.

Plus d'informations

Pour plus d'informations sur ce problème de sécurité, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/france/securite/bulletins/2003/ms03-008.aspx
Pour plus d'informations sur JScript, consultez le site Web de Microsoft à l'adresse suivante (en anglais) :
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/script56/html/0441e1e5-34e4-4d32-b188-f7fc35613478.asp

Propriétés

Numéro d'article: 814078 - Dernière mise à jour: lundi 30 avril 2007 - Version: 16.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
  • Microsoft Windows Millennium Edition
  • Microsoft Windows 98 Deuxième Édition
  • Microsoft Windows 98 Standard Edition
Mots-clés : 
atdownload kbwinxpsp2fix kbenv kbwin2000presp4fix kbsecvulnerability kbsecbulletin kbsecurity kbwinxppresp2fix kbfix kbbug KB814078
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com