- Date : 12 Octobre 2010

- Plateforme : Windows

- Programme : Framework .NET

- Gravité : Elevée

- Exploitation : Avec une page web malicieuse

- Dommage : Accès au système

- Description : Une vulnérabilité a été corrigée au sein du framework .NET. L’exploitation de celle-ci permettait à un attaquant de prendre le contrôle d’un système vulnérable.

La faille de sécurité provenait d’une erreur non spécifiée au sein du compilateur JIT (Just In Time) du framework .NET. Ce composant permet de générer le code MSIL à partir de la machine virtuelle du framework .NET : CLR. Afin d’exploiter cette vulnérabilité, un attaquant devait inciter un internaute à accéder à une page web malveillante utilisant une application XBAP (XAML Browser Application) spécialement conçue. La vulnérabilité résultait plus précisément d’une erreur d’optimisation du code MSIL lors de sa compilation pour des environnements 64 bits.

Un pirate pouvait également exploité cette faille de sécurité sur un serveur web IIS hébergeant des applications ASP.NET permettant l’upload de fichiers et contourner ainsi les limitations de la sandbox .NET.

Cette vulnérabilité n’affecte que la version 4.0 du framework .NET sur les architectures 64 bits et Itanium.

Note : l’application de ce correctif peut nécessiter un redémarrage si l’environnement .NET est en cours d’utilisation.

– Vulnérable :
* FrameWork .Net 4.0 utilisé sur les systèmes :

* Windows XP Professionnel SP2 (Edition 64 bits)
* Windows Server 2003 SP2 (Edition 64 bits et Itanium)
* Windows Vista SP1 et SP2 (Edition 64 bits)
* Windows Server 2008 et Windows Server 2008 SP2 (Edition 64 bits et Itanium)
* Windows 7 (Edition 64 bits)
* Windows Server 2008 R2 (Edition 64 bits et Itanium)

– Non Vulnérable :
Framework .NET :
* Microsoft .NET Framework 1.0 SP3
* Microsoft .NET Framework 1.1 SP1
* Microsoft .NET Framework 2.0 SP1
* Microsoft .NET Framework 2.0 SP2
* Microsoft .NET Framework 3.0
* Microsoft .NET Framework 3.0 SP1
* Microsoft .NET Framework 3.0 SP2
* Microsoft .NET Framework 3.5
* Microsoft .NET Framework 3.5 SP1
* Microsoft .NET Framework 3.5.1

Combinaison de système d’exploitation et de Framework .NET :
* Windows XP SP3 avec le Framework .NET 4.0
* Windows Server 2003 SP2 avec le Framework .NET 4.0
* Windows Vista SP1 et SP2 avec le Framework .NET 4.0
* Windows Server 2008 et Windows Server 2008 SP2 pour systèmes 32 bits avec le Framework .NET 4.0
* Windows 7 pour systèmes 32 bits avec le Framework .NET 4.0

- Référence :

[FR] http://www.microsoft.com/france/technet/security/bulletin/MS10-077.mspx

[EN] http://www.microsoft.com/technet/security/bulletin/MS10-077.mspx

- Référence CVE :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3228

- Correction :

Le CERT-XMCO recommande d’installer le correctif MS10-077 (KB2160841) disponible sur le site de l’éditeur à l’adresse suivante :
http://www.microsoft.com/downloads/details.aspx?familyid=bbc22169-996f-48d1-beed-0ee0dc4fbf4f

Par ailleurs, une solution de contournement est disponible à l’adresse suivante :
http://www.microsoft.com/technet/security/bulletin/MS10-077.mspx

- Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1365