Vigil@nce - Microsoft .NET : quatre vulnérabilités
janvier 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de Microsoft
.NET, afin d’élever ses privilèges.
Produits concernés : .NET Framework, Windows 2003, Windows 2008,
Microsoft Windows 2012, Windows 7, Windows 8, Windows Vista,
Windows XP
Gravité : 2/4
Date création : 08/01/2013
DESCRIPTION DE LA VULNÉRABILITÉ
L’environnement Microsoft .NET Framework installe des composants,
qui permettent d’exécuter :
– une Microsoft .NET Application (s’exécute en local)
– une Microsoft ASP.NET Application (s’exécute sur un serveur web)
– une XAML Browser Application (s’exécute dans un navigateur web,
lors de la consultation d’une page XBAP)
Cependant, quatre vulnérabilités ont été annoncées dans .NET.
Un attaquant peut obtenir les fonctionnalités de dessin, afin
d’obtenir des fragments de la mémoire. [grav:1/4 ; BID-57124,
CVE-2013-0001]
Un attaquant peut employer un buffer overflow de WinForms, afin
d’exécuter du code libre avec les privilèges de l’application.
[grav:2/4 ; BID-57126, CVE-2013-0002]
Un attaquant peut employer un buffer overflow de S.DS.P, afin
d’exécuter du code libre avec les privilèges de l’application.
[grav:2/4 ; BID-57114, CVE-2013-0003]
Un attaquant peut construire un double, pour corrompre la mémoire
lors de la gestion de l’Intermediate Language, afin d’exécuter du
code libre avec les privilèges de l’application. [grav:2/4 ;
BID-57113, CVE-2013-0004]
Un attaquant peut donc employer plusieurs vulnérabilités de
Microsoft .NET, afin d’élever ses privilèges.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Microsoft-NET-quatre-vulnerabilites-12312