Vulnérabilité critique sur les postes de travail et serveurs Windows

Bureau de la sécurité informatique (DGTIC)
Communiqué
Bureau de la sécurité informatique de l'Université de Montréal (DGTIC)
Vulnérabilité critique sur les postes de travail et serveurs Windows (MS08-067)
Le 24 octobre 2008
Ceci est un communiqué du Bureau de la sécurité informatique de l'Université de
Montréal (DGTIC).
Si vous êtes propriétaire ou responsable d'un ordinateur ayant le système d'exploitation
Windows et non géré par la DGTIC, votre attention immédiate est requise.
Jeudi le 23 octobre 2008, Microsoft a annoncé (bulletin MS08-067) une vulnérabilité
critique de tous les systèmes d'exploitation Windows publiés au cours des dernières
années. Cette vulnérabilité pourrait permettre à une personne distante de prendre le
contrôle complet de votre ordinateur.
Les versions de Windows affectées sont :
•
•
2000, XP et 2003 : la personne malicieuse peut être anonyme, c’est-à-dire non
authentifiée;
Vista et 2008 : la personne malicieuse doit être authentifiée.
Des exploitations de cette vulnérabilité circulent déjà sur l'Internet et les analystes de
sécurité craignent qu'un virus ou ver informatique les utilise et provoque une crise
importante à l'échelle de l'Internet.
Microsoft a fourni des correctifs pour cette vulnérabilité. Ils doivent être appliqués dans
les plus brefs délais.
Que fait la DGTIC à ce sujet :
a) si votre poste de travail est géré par la DGTIC, les mises-à-jour sont déjà lancées;
elles sont déjà faites ou sur le point de l'être (si votre poste est en ligne); vous
n'avez rien à faire.
b) la DGTIC s'affaire à mettre à jour tous les serveurs dont elle a la responsabilité;
c) les protections en périphérie du réseau universitaire empêchent la prise de
contrôle directe à partir de l'Internet.
Cependant, à cause de la gravité de la situation, la Bureau de la sécurité informatique
(DGTIC) prend l'initiative de contacter tous les membres de la communauté universitaire.
Nous désirons nous assurer que les postes non gérés soient aussi mis-à-jour. Ceci vise
donc tous les ordinateurs Windows non gérés par la DGTIC à l'Université de Montréal
ainsi que tous les postes personnels.
Veuillez donc installer le correctif approprié pour la présente vulnérabilité le plus
rapidement possible. La façon la plus simple d'installer ce correctif (et tout autre correctif
non encore installé) est d'utiliser la fonctionnalité «Microsoft Update» de Microsoft. La
DGTIC vous offre deux capsules d'information démontrant comment utiliser cette
fonctionnalité sous Windows XP et Windows Vista; ces capsules sont disponibles à
http://www.dgtic.umontreal.ca/soutien/capsules/bureau.htm (section 1.1), sous les noms
suivants :
•
•
Mise à jour critique pour Windows XP
Mise à jour critique pour Windows Vista
Références :
•
•
•
Bulletin MS08-067 de Microsoft
(http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx )
ce communiqué, sur le site Web de la
DGTIC (http://www.dgtic.umontreal.ca/securite/communiques/communiquems08-067.pdf )
référence technique sur le site Web du Bureau de la sécurité informatique
(http://www.securinfo.umontreal.ca/pcmac/index0.html ) : avis du 23 octobre
2008.
Bureau de la sécurité informatique (DGTIC)
Université de Montréal.
2