MS16-087 : Mise à jour de sécurité pour les composants du spouleur d’impression Windows : 12 juillet 2016

S’applique à
Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Server 2008 Foundation Windows Server 2008 for Itanium-Based Systems Windows Vista Service Pack 2 Windows Vista Ultimate Windows Vista Enterprise Windows Vista Business Windows Vista Home Premium Windows Vista Home Basic Windows Vista Starter

Avis

Cette mise à jour de sécurité a été republiée le 12 septembre 2017 pour corriger les problèmes connus dans la mise à jour 3170455 pour la vulnérabilité CVE-2016-3238.

Microsoft a publié les mises à jour suivantes pour les versions actuellement prises en charge de Microsoft Windows. Pour plus d’informations, consultez l’article suivant de la Base de connaissances Microsoft :

  • Republication de la mise à jour 3170455 pour Windows Server 2008
  • Correctif cumulatif mensuel 4038777 et mise à jour de sécurité 4038779 pour Windows 7 et Windows Server 2008 R2
  • Correctif cumulatif mensuel 4038799 et mise à jour de sécurité 4038786 pour Windows Server 2012
  • Correctif cumulatif mensuel 4038792 et mise à jour de sécurité 4038793 pour Windows 8.1 et Windows Server 2012 R2
  • Mise à jour cumulative 4038781 pour Windows 10
  • Mise à jour cumulative 4038781 pour Windows 10 version 1511
  • Mise à jour cumulative 4038782 pour Windows 10 version 1607 et Windows Server 2016

Microsoft recommande aux clients qui utilisent Windows Server 2008 de réinstaller la mise à jour 3170455. Microsoft recommande aux clients qui utilisent une autre version prise en charge de Windows d’installer la mise à jour appropriée. Pour plus d’informations, consultez l’article 3170455 de la Base de connaissances Microsoft.

Autres modifications contenues dans la republication de MS16-087

  • Ajout de la journalisation des événements pour déterminer la cause des erreurs d’installation des pilotes d’imprimante

Auparavant, la seule façon de connaître la cause de l’échec d’un pilote au contrôle des restrictions implémenté dans le cadre de MS16-087 était de rassembler les journaux de suivi des événements (ETW) d’impression, puis de les envoyer à Microsoft pour analyse.

La fonctionnalité de journalisation de la cause des échecs dans le journal des événements a été ajoutée pour que les clients puissent rechercher eux-mêmes la cause première des échecs des pilotes.

Informations consignées :

1. Si un pilote n’est pas compatible avec les packages ou n’est pas correctement signé, le message suivant est journalisé :

MSG_CSRSPL_UNTRUSTED_DRIVER : « Le spouleur d’impression n’a pas pu télécharger le package pour driverName><. Code d’erreur = <errorCodeFromListBelow>. Blocage du pilote en raison d’un risque d’altération potentielle. »

2. Si un pilote échoue à la validation d’une signature à l’aide du catalogue fourni, le message suivant est enregistré :

VALIDATEDRVINFO_FAILED : « Dans VALIDATEINGDRVINFO, échec de l’ajout du pilote du> pilote < d’imprimante, code d’erreur< errorCodeFromListBelow>.

Codes d’erreur possibles :

Code Signification
0x800F0243L Éditeur non approuvé
0x800F024BL Hachage absent du catalogue
0x800F022FL Pas de catalogue pour INF OEM
0x800F023FL Pas de catalogue Authenticode
0x800F0240L Authenticode non autorisé
0x800F0249L « Installation de pilote générique bloquée »

Résumé

Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Windows. La vulnérabilité la plus grave pourrait permettre l'exécution d'un code à distance si un attaquant était capable de lancer une « attaque de l'intercepteur » (MiTM - Man-in-the-middle) sur un poste de travail ou sur un serveur d'impression, ou de mettre en place un serveur d'impression non autorisé sur un réseau cible.

Pour en savoir plus sur cette vulnérabilité, consultez le Bulletin de sécurité Microsoft MS16-087.

Informations supplémentaires

Important

  • Après l'installation de cette mise à jour de sécurité, pour pouvoir déployer des pilotes Pointer et imprimer sur des clients à partir de serveurs d'impression, vous devez appliquer le correctif cumulatif Windows suivant sur le serveur d'impression Windows 8.1 ou Windows Server 2012 R2 :
    3000850 correctif cumulatif de novembre 2014 pour Windows RT 8.1, Windows 8.1 et Windows Server 2012 R2
  • Toutes les prochaines mises à jour de sécurité et non liées à la sécurité pour Windows RT 8.1, Windows 8.1 et Windows Server 2012 R2 nécessitent l’installation de la mise à jour 2919355. Il est recommandé d'installer la mise à jour 2919355 sur votre ordinateur Windows RT 8.1, Windows 8.1 ou Windows Server 2012 R2 pour recevoir les prochaines mises à jour.
  • Si vous installez un module linguistique après cette mise à jour, vous devez réinstaller cette mise à jour. Par conséquent, nous vous conseillons d’installer les modules linguistiques nécessaires avant cette mise à jour. Pour plus d’informations, voir Ajouter des modules linguistiques à Windows.

Informations supplémentaires relatives à cette mise à jour de sécurité

Les articles suivants contiennent des informations supplémentaires sur cette mise à jour de sécurité, car elle concerne des versions de produit individuelles. Les articles peuvent contenir des informations sur les problèmes connus.

  • 3170455 MS16-087 : Description de la mise à jour de sécurité pour les composants du spouleur d’impression Windows : 12 juillet 2016
  • mise à jour cumulative 3163912 pour Windows 10 : 12 juillet 2016
  • 3172985 Mise à jour cumulative pour Windows 10 version 1511 et Windows Server 2016 Technical Preview 4 : 12 juillet 2016

Problèmes connus

Si vous utilisez l'impression réseau dans votre environnement, vous pouvez rencontrer l'un des problèmes suivants :

  • Un avertissement peut s'afficher pour vous demander d'installer un pilote d'imprimante ou l'installation du pilote peut échouer sans notification après l'application de la mise à jour MS16-087. Les symptômes varient selon le scénario.
    Scénario 1 Pour les pilotes d’imprimantes v3 hors package, le message d’avertissement suivant peut s’afficher lorsque l’utilisateur tente de se connecter à une imprimante de type Pointer et imprimer :

    e5e460dd-5995-37ef-44bd-60313f49c7f3
    Scénario 2 Les pilotes de package doivent être signés avec un certificat approuvé. Le processus de vérification contrôle si tous les fichiers inclus dans le pilote sont hachés dans le catalogue. En cas d'échec de la vérification, le pilote est considéré comme non fiable. Dans ce cas, l’installation du pilote est bloquée et le message d’avertissement suivant s’affiche :

    0b55cb05-ac97-13a3-d053-717a790f26a1
    Scénario 3 Pour les scénarios non interactifs (par exemple, si l’imprimante est installée via un script automatisé), lorsque le pilote d’imprimante respecte les critères décrits dans le scénario 1 ou 2, l’installation de l’imprimante échoue et aucun message d’avertissement ne s’affiche.

    Dans de tels cas, contactez votre administrateur réseau pour obtenir un pilote mis à jour fourni par le fabricant de l’imprimante.

    Conseils pour les administrateurs réseau :

    • Mettez à jour le pilote d'imprimante concerné. Les pilotes d'imprimante v3 de package ont été introduits dans Windows Vista. L'installation d'un pilote d'imprimante de package permet de résoudre le problème.
    • Si le pilote d'imprimante approprié n'est pas disponible pour une imprimante héritée spécifique, la préinstallation du pilote d'imprimante problématique sur le système client permet de résoudre le problème.

    Pour plus d'informations sur ces scénarios, consultez les ressources Microsoft suivantes :

  • Après avoir appliqué la mise à jour de sécurité MS16-087 (KB 3170455) et essayé de vous connecter à une imprimante de package approuvé installée sur un système sous Windows 8.1 ou Windows Server 2012 R2, vous ne pouvez pas vous connecter à l'imprimante.

    Pour résoudre ce problème, appliquez le correctif cumulatif Windows suivant sur le serveur d’impression Windows 8.1 et Windows Server 2012 R2 :
    3000850 correctif cumulatif de novembre 2014 pour Windows RT 8.1, Windows 8.1 et Windows Server 2012 R2

Mise à jour d'octobre 2016 : Atténuation des problèmes connus

Microsoft a publié une mise à jour d'octobre 2016 grâce à laquelle les administrateurs réseau peuvent configurer des stratégies permettant d'installer des pilotes d'impression qu'ils considèrent comme approuvés. Cette mise à jour permet également aux administrateurs réseau de déployer des connexions d'imprimante qu'ils considèrent comme approuvées.

Les mises à jour sont contenues dans les packages cumulatifs suivants.
 

Windows 10 RTM KB 3192440
Windows 10 1511 KB 3192441
Windows 10 1607 KB 3194798
Windows 7 et Windows Server 2008 R2 KB 3192403
Windows Server 2012 KB 3192406
Windows 8.1 and Windows Server 2012 R2 KB 3192404

Configuration d'une stratégie de groupe pour ajouter des serveurs d'impression à la liste approuvée

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Tapez gpedit.msc, puis cliquez sur OK.

  3. Développez Configuration ordinateur, puis Modèles d’administration.

  4. Cliquez sur Imprimantes.

  5. Double-cliquez sur Restrictions Pointer et imprimer, puis sélectionnez l’option Activé.

  6. Sous Options, activez la case à cocher Les utilisateurs ne peuvent pointer et imprimer que sur ces serveurs, puis tapez les noms de serveurs complets dans la zone de texte en les séparant par un point-virgule.

  7. Sous Invites de sécurité, définissez-les comme suit :

    1. « Lors de l’installation des pilotes pour une nouvelle connexion » : « Afficher l’avertissement et l’invite d’élévation ».
    2. « Lors de la mise à jour des pilotes pour une connexion existante » : « Afficher l’avertissement et l’invite d’élévation ».
  8. Cliquez sur Appliquer, puis sur OK.

  9. Sur la page de stratégie Imprimantes, double-cliquez sur Pointer et imprimer les packages - Serveurs approuvés.

  10. Sélectionnez l’option Activé.

  11. Sous Options, cliquez sur Afficher.

  12. Tapez un nom de serveur complet dans chaque ligne.

  13. Cliquez sur OK.

  14. Cliquez sur Appliquer, puis sur OK.

  15. Si vous utilisez un client autonome, redémarrez le client, puis vérifiez que ces stratégies sont appliquées.

  16. Si vous utilisez des stratégies de domaine, transmettez les stratégies aux clients de domaine, puis vérifiez que ces stratégies sont appliquées.

Remarque Après avoir activé ces stratégies de groupe, vous devez ajouter tous les serveurs d’impression aux listes Restrictions Pointer et imprimer et Pointer et imprimer les packages - Serveurs approuvés. Cette opération doit être effectuée indépendamment de la reconnaissance de packages.

Forum aux questions concernant la mise à jour d'octobre 2016

  • Q : Devons-nous désinstaller la mise à jour précédente ?
    R : Non. La mise à jour précédente corrige la vulnérabilité. La mise à jour d'octobre 2016 propose une atténuation permettant aux administrateurs réseau d'installer des pilotes qu'ils considèrent comme approuvés.

  • Q : J’ai installé la mise à jour d’octobre 2016 et configuré les stratégies de groupe, mais le message « Faites-vous confiance à cette imprimante » s’affiche encore lorsque j’essaie d’installer une imprimante locale. Quelle en est la raison ?
    R : Cette atténuation cible les imprimantes réseau et non les imprimantes locales. Ce comportement est donc attendu.

    Remarque Si le message « Faites-vous confiance à cette imprimante » s’affiche, remplacez le pilote actuel par un pilote de package approuvé ou installez les fichiers de pilote dans le magasin de pilotes local avant d’installer l’imprimante locale. Pour plus d'informations, consultez la section Conseils pour les administrateurs réseau.

Procédure d'obtention et d'installation de la mise à jour

Méthode 1 : Windows Update

Cette mise à jour est disponible via Windows Update. Si vous activez les mises à jour automatiques, cette mise à jour est téléchargée et installée automatiquement. Pour en savoir plus sur l'activation des mises à jour automatiques, consultez la section Obtenir les mises à jour de sécurité automatiques.

Remarque Pour Windows RT 8.1, cette mise à jour est disponible uniquement via Windows Update.

Méthode 2 : Centre de téléchargement Microsoft

Vous pouvez obtenir le package de mise à jour autonome via le Centre de téléchargement Microsoft. Suivez les instructions d’installation figurant sur la page de téléchargement pour installer la mise à jour.

Dans le Bulletin de sécurité Microsoft MS16-087, cliquez sur le lien de téléchargement qui correspond à la version de Windows que vous exécutez.

Informations supplémentaires

Informations sur le déploiement des mises à jour de sécurité

Table de référence Windows Vista (toutes éditions)

Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.
 

Noms de fichier de la mise à jour de sécurité Pour toutes les éditions 32 bits prises en charge de Windows Vista :
Windows6.0-KB3170455-x86.msu
Pour toutes les éditions x64 prises en charge de Windows Vista :
Windows6.0-KB3170455-x64.msu
Commutateurs d'installation Voir l’article 934307 de la Base de connaissances Microsoft.
Nécessité de redémarrer Dans certains cas, cette mise à jour ne nécessite pas le redémarrage du système. Si les fichiers requis sont en cours d'utilisation, cette mise à jour nécessite un redémarrage du système. Dans ce cas, un message vous invite à redémarrer le système.
Informations sur la suppression WUSA.exe ne prend pas en charge la désinstallation des mises à jour. Pour désinstaller une mise à jour installée par WUSA, cliquez sur Panneau de configuration, puis sur Sécurité. Sous Windows Update, cliquez sur Afficher les mises à jour installées, puis faites votre choix dans la liste des mises à jour.
Informations de fichier Voir l’article 3170455 de la Base de connaissances Microsoft
Vérification de la clé de Registre Remarque Il n'existe aucune clé de Registre pour valider la présence de cette mise à jour.

Windows Server 2008 (toutes les éditions) Table de référence

Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.
 

Noms de fichier de la mise à jour de sécurité Pour toutes les éditions 32 bits prises en charge de Windows Server 2008 :
Windows6.0-KB3170455-x86.msu
Pour toutes les éditions x64 prises en charge de Windows Server 2008 :
Windows6.0-KB3170455-x64.msu
Pour toutes les éditions Itanium prises en charge de Windows Server 2008 :
Windows6.0-KB3170455-ia64.msu
Commutateurs d'installation Voir l’article 934307 de la Base de connaissances Microsoft.
Nécessité de redémarrer Dans certains cas, cette mise à jour ne nécessite pas le redémarrage du système. Si les fichiers requis sont en cours d'utilisation, cette mise à jour nécessite un redémarrage du système. Dans ce cas, un message vous invite à redémarrer le système.
Informations sur la suppression WUSA.exe ne prend pas en charge la désinstallation des mises à jour. Pour désinstaller une mise à jour installée par WUSA, cliquez sur Panneau de configuration, puis sur Sécurité. Sous Windows Update, cliquez sur Afficher les mises à jour installées, puis faites votre choix dans la liste des mises à jour.
Informations de fichier Voir l’article 3170455 de la Base de connaissances Microsoft
Vérification de la clé de Registre Remarque Il n'existe aucune clé de Registre pour valider la présence de cette mise à jour.

Table de référence Windows 7 (toutes éditions)

Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.
 

Nom de fichier de la mise à jour de sécurité Pour toutes les éditions 32 bits prises en charge de Windows 7 :
Windows6.1-KB3170455-x86.msu
Pour toutes les éditions x64 prises en charge de Windows 7 :
Windows6.1-KB3170455-x64.msu
Commutateurs d'installation Voir l’article 934307 de la Base de connaissances Microsoft.
Nécessité de redémarrer Dans certains cas, cette mise à jour ne nécessite pas le redémarrage du système. Si les fichiers requis sont en cours d'utilisation, cette mise à jour nécessite un redémarrage du système. Dans ce cas, un message vous invite à redémarrer le système.
Informations sur la suppression Pour désinstaller une mise à jour installée par WUSA, utilisez le commutateur d'installation /Uninstall ou cliquez sur Panneau de configuration, Système et sécurité, Windows Update et Afficher les mises à jour installées, puis faites votre choix dans la liste des mises à jour.
Informations de fichier Voir l’article 3170455 de la Base de connaissances Microsoft
Vérification de la clé de Registre Remarque Il n'existe aucune clé de Registre pour valider la présence de cette mise à jour.

Windows Server 2008 R2 (toutes les éditions) Table de référence

Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.
 

Nom de fichier de la mise à jour de sécurité Pour toutes les éditions x64 prises en charge de Windows Server 2008 R2 :
Windows6.1-KB3170455-x64.msu
Pour toutes les éditions Itanium prises en charge de Windows Server 2008 R2 :
Windows6.1-KB3170455-ia64.msu
Commutateurs d'installation Voir l’article 934307 de la Base de connaissances Microsoft.
Nécessité de redémarrer Dans certains cas, cette mise à jour ne nécessite pas le redémarrage du système. Si les fichiers requis sont en cours d'utilisation, cette mise à jour nécessite un redémarrage du système. Dans ce cas, un message vous invite à redémarrer le système.
Informations sur la suppression Pour désinstaller une mise à jour installée par WUSA, utilisez le commutateur d'installation /Uninstall ou cliquez sur Panneau de configuration, Système et sécurité, Windows Update et Afficher les mises à jour installées, puis faites votre choix dans la liste des mises à jour.
Informations de fichier Voir l’article 3170455 de la Base de connaissances Microsoft
Vérification de la clé de Registre Remarque Il n'existe aucune clé de Registre pour valider la présence de cette mise à jour.

Windows 8.1 (toutes les éditions) Table de référence

Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.

Nom de fichier de la mise à jour de sécurité Pour toutes les éditions 32 bits de Windows 8.1 prises en charge :
Windows8.1-KB3170455-x86.msu
Pour toutes les éditions x64 prises en charge de Windows 8.1 :
Windows8.1-KB3170455-x64.msu
Commutateurs d'installation Voir l’article 934307 de la Base de connaissances Microsoft.
Nécessité de redémarrer Dans certains cas, cette mise à jour ne nécessite pas le redémarrage du système. Si les fichiers requis sont en cours d'utilisation, cette mise à jour nécessite un redémarrage du système. Dans ce cas, un message vous invite à redémarrer le système.
Informations sur la suppression Pour désinstaller une mise à jour installée par WUSA, utilisez le commutateur d'installation /Uninstall ou cliquez sur Panneau de configuration, Système et sécurité, Windows Update, puis, sous Voir aussi, cliquez sur Mises à jour installées et faites votre choix dans la liste des mises à jour.
Informations de fichier Voir l’article 3170455 de la Base de connaissances Microsoft
Vérification de la clé de Registre Remarque Il n'existe aucune clé de Registre pour valider la présence de cette mise à jour.

Table de référence Windows Server 2012 et Windows Server 2012 R2 (toutes les éditions)

Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.
 

Nom de fichier de la mise à jour de sécurité Pour toutes les éditions de Windows Server 2012 prises en charge :
Windows8-RT-KB3170455-x64.msu
Pour toutes les éditions de Windows Server 2012 R2 prises en charge :
Windows8.1-KB3170455-x64.msu
Commutateurs d'installation Voir l’article 934307 de la Base de connaissances Microsoft.
Nécessité de redémarrer Dans certains cas, cette mise à jour ne nécessite pas le redémarrage du système. Si les fichiers requis sont en cours d'utilisation, cette mise à jour nécessite un redémarrage du système. Dans ce cas, un message vous invite à redémarrer le système.
Informations sur la suppression Pour désinstaller une mise à jour installée par WUSA, utilisez le commutateur d'installation /Uninstall ou cliquez sur Panneau de configuration, Système et sécurité, Windows Update, puis, sous Voir aussi, cliquez sur Mises à jour installées et faites votre choix dans la liste des mises à jour.
Informations de fichier Voir l’article 3170455 de la Base de connaissances Microsoft
Vérification de la clé de Registre Remarque Il n'existe aucune clé de Registre pour valider la présence de cette mise à jour.

Windows RT 8.1 (toutes les éditions) Table de référence

Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.
 

Déploiement Cette mise à jour est disponible via Windows Update uniquement.
Nécessité de redémarrer Dans certains cas, cette mise à jour ne nécessite pas le redémarrage du système. Si les fichiers requis sont en cours d'utilisation, cette mise à jour nécessite un redémarrage du système. Dans ce cas, un message vous invite à redémarrer le système.
Informations sur la suppression Cliquez sur Panneau de configuration, Système et sécurité, Windows Update, puis, sous Voir aussi, cliquez sur Mises à jour installées et faites votre choix dans la liste des mises à jour.
Informations sur le fichier Voir l’article 3170455 de la Base de connaissances Microsoft

Windows 10 (toutes les éditions) Table de référence

Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.
 

Nom de fichier de la mise à jour de sécurité Pour toutes les éditions 32 bits prises en charge de Windows 10 :
Windows10.0-KB3163912-x86.msu
Pour toutes les éditions x64 prises en charge de Windows 10 :
Windows10.0-KB3163912-x64.msu
Pour toutes les éditions 32 bits prises en charge de Windows 10 version 1511 :
Windows10.0-KB3172985-x86.msu
Pour toutes les éditions x64 prises en charge de Windows 10 version 1511 :
Windows10.0-KB3172985-x64.msu
Commutateurs d'installation Voir l’article 934307 de la Base de connaissances Microsoft.
Nécessité de redémarrer Dans certains cas, cette mise à jour ne nécessite pas le redémarrage du système. Si les fichiers requis sont en cours d'utilisation, cette mise à jour nécessite un redémarrage du système. Dans ce cas, un message vous invite à redémarrer le système.
Informations sur la suppression Pour désinstaller une mise à jour installée par WUSA, utilisez le commutateur d'installation /Uninstall ou cliquez sur Panneau de configuration, Système et sécurité, Windows Update, puis, sous Voir aussi, cliquez sur Mises à jour installées et faites votre choix dans la liste des mises à jour.
Informations de fichier Consultez l’article de la Base de connaissances Microsoft 3163912
Consultez l’article de la Base de connaissances Microsoft 3172985
Vérification de la clé de Registre Remarque Il n'existe aucune clé de Registre pour valider la présence de cette mise à jour.
Comment obtenir de l’aide et du support pour cette mise à jour de sécurité

Aide pour l’installation des mises à jour : Prise en charge de Microsoft Update

Solutions de sécurité pour les professionnels de l’informatique : Dépannage et support de la sécurité TechNet

Aide pour protéger votre ordinateur Windows contre les virus et les programmes malveillants : Solution antivirus et Security Center

Support local en fonction de votre pays : Support international