MS07-061 : Une vulnérabilité Windows URI Handling peut permettre l'exécution de code à distance

Traductions disponibles Traductions disponibles
Numéro d'article: 943460 - Voir les produits auxquels s'applique cet article
Important Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, pensez à le sauvegarder et assurez-vous que vous savez le restaurer en cas de problème. Pour plus d'informations sur la façon de sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
256986 Description du Registre de Microsoft Windows
Important Cet article contient des informations vous expliquant comment abaisser des paramètres de sécurité ou comment désactiver des fonctions de sécurité sur un ordinateur. Vous pouvez être amené à procéder à ces modifications pour contourner un problème spécifique. Avant de procéder à ces modifications, nous vous recommandons d'évaluer les risques associés à l'implémentation de cette solution de contournement dans votre environnement propre. Si vous implémentez cette solution de contournement, veillez à prendre toutes les mesures appropriées pour protéger l'ordinateur.
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Microsoft a publié le bulletin de sécurité MS07-061. Ce bulletin contient toutes les informations pertinentes sur la mise à jour de sécurité correspondante, y compris les informations de fichier manifest et les options de déploiement. Pour consulter la totalité du bulletin de sécurité, reportez-vous au site Web de Microsoft aux adresses suivantes : Obtention d'aide et prise en charge de cette mise à jour de sécurité
Pour les particuliers, une assistance gratuite est disponibles en appelant 1-866-PCSAFETY aux Etats-Unis et au Canada ou en contactant votre filiale Microsoft locale. Pour plus d'informations sur la façon de contacter votre filiale Microsoft locale pour des questions relatives à la prise en charge des mises à jour de sécurité, reportez-vous au site Web du support International Microsoft à l'adresse suivante :
http://support.microsoft.com/common/international.aspx
Pour les entreprises, la prise en charge des mises à jour de sécurité se fait via les contacts habituels de support.

Plus d'informations

La mise à jour fournie par le bulletin de sécurité MS07-061 résout uniquement les URI (Universal Resource Identifiers) transmis à Windows Shell. Les applications qui sont autorisées à transférer des URI vers la fonction Windows Shell32 ShellExecute pour l'exécution doivent être soigneusement désignées pour assurer la protection face à cette menace. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
943522 Comment faire pour mettre en ?uvre la validation des URL durant le développement des applications pour Windows XP ou Windows Server 2003

Avertissement Toute modification incorrecte du Registre à l'aide de l'Éditeur du Registre ou d'une autre méthode peut entraîner des problèmes sérieux. Ces problèmes peuvent vous obliger à réinstaller le système d'exploitation. Microsoft ne peut pas garantir que ces problèmes puissent être résolus. Vous assumez l'ensemble des risques liés à la modification du Registre.

Informations supplémentaires relatives à cette mise à jour de sécurité

Si une application cesse de fonctionner après l'installation de cette mise à jour de sécurité, vous pouvez configurer le registre pour exempter l'application de la mise à jour. Pour cela, appliquez l'une des méthodes suivantes :

Pour les applications

Avertissement Cette solution de contournement peut rendre un ordinateur ou un réseau plus vulnérable aux attaques d'utilisateurs malintentionnés ou de logiciels nuisibles tels que des virus. Cette solution de contournement n'est pas recommandée ; nous vous indiquons toutefois la marche à suivre si vous souhaitez l'appliquer. Vous assumez l'ensemble des risques liés à cette solution de contournement. Pour configurer une application de façon à ce qu'elle soit exemptée de cette mise à jour de sécurité, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.
  2. Recherchez et cliquez sur la sous-clé de Registre suivante, où Application_name correspond au nom de l'application que vous souhaitez exempter :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Application_name
    Remarque Vous devrez peut-être créer la sous-clé Application_name. Pour cela, procédez comme suit :
    1. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Clé.
    2. Tapez un nouveau nom pour la sous-clé de l'application, puis appuyez sur ENTRÉE.

      Remarque Le nom de la sous-clé de l'application doit correspondre au nom du fichier exécutable de cette dernière. Le nom doit également inclure l'extension à trois lettres du fichier exécutable pour l'application. Par exemple, Microsoft Office Excel utilise la sous-clé excel.exe suivante :
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\excel.exe
  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  4. Tapez AllowShellExecHandleCIFFailure pour affecter un nom à la valeur DWORD, puis appuyez sur ENTRÉE.
  5. Cliquez avec le bouton droit sur AllowShellExecHandleCIFFailure, puis cliquez sur Modifier.
  6. Dans la zone Données de la valeur, tapez 1, puis cliquez sur OK.
  7. Quittez l'Éditeur du Registre.

Pour les administrateurs

Avertissement Cette solution de contournement peut rendre un ordinateur ou un réseau plus vulnérable aux attaques d'utilisateurs malintentionnés ou de logiciels nuisibles tels que des virus. Cette solution de contournement n'est pas recommandée ; nous vous indiquons toutefois la marche à suivre si vous souhaitez l'appliquer. Vous assumez l'ensemble des risques liés à cette solution de contournement. Les administrateurs peuvent désactiver la mise à jour de sécurité pour des applications spécifiques. Pour cela, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.
  2. Recherchez la sous-clé de Registre suivante et cliquez dessus :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Clé.
  4. Tapez AllowShellExecHandleCIFFailure pour affecter un nom à la sous-clé, puis appuyez sur ENTRÉE.
  5. Recherchez la sous-clé de Registre suivante et cliquez dessus :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AllowShellExecHandleCIFFailure
  6. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  7. Tapez Application_name.exe pour affecter un nom à la valeur DWORD, où Application_name correspond au nom de l'application, puis appuyez sur ENTRÉE.
  8. Cliquez avec le bouton droit sur Application_name, puis cliquez sur Modifier.
  9. Dans la zone Données de la valeur, tapez 1, puis cliquez sur OK.
  10. Quittez l'Éditeur du Registre.

Problèmes courants concernant cette mise à jour de sécurité

  • Après l'installation de cette mise à jour de sécurité sur un ordinateur Windows XP Service Pack 2 (SP2) qui comporte une interface utilisateur multilingue en arabe ou en hébreu, du texte anglais peut apparaître dans les barres de menu et dans le menu Démarrer. Pour plus d'informations sur ce problème, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    945648 Après l'installation de la mise à jour de sécurité 943460 sur un ordinateur Windows XP Service Pack 2 qui comporte une interface utilisateur multilingue en arabe ou en hébreu, du texte anglais peut apparaître dans les barres de menu et dans le menu Démarrer
  • Après l'installation de la mise à jour de sécurité sur un ordinateur Windows XP SP2, la case à cocher Internet Explorer ne figure pas dans la boîte de dialogue Éléments du Bureau lorsque vous ouvrez celle-ci pour personnaliser le Bureau. Vous ne pouvez donc pas utiliser cette méthode pour créer un raccourci Windows Internet Explorer sur le Bureau. Pour plus d'informations sur ce problème, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    945402 La case à cocher Internet Explorer disparaît de la boîte de dialogue Éléments du Bureau après l'installation de la version QFE de la mise à jour de sécurité MS07-061 sur un ordinateur Windows XP Service Pack 2

Propriétés

Numéro d'article: 943460 - Dernière mise à jour: lundi 4 février 2008 - Version: 3.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1 sur le système suivant
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Service Pack 2 sur le système suivant
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
    • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
    • Microsoft Windows Server 2003 R2 Standard x64 Edition
    • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
    • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows XP Tablet PC Edition 2005
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Service Pack 2 sur le système suivant
    • Microsoft Windows XP Professional
    • Microsoft Windows XP Édition familiale
    • Microsoft Windows XP Professional x64 Edition
Mots-clés : 
kbregistry kbexpertiseinter kbexpertisebeginner kbqfe kbsecurity kbsecbulletin kbsecvulnerability kbbug kbfix kbwin2000presp5fix kbpubtypekc KB943460
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com