Vigil@nce - Microsoft Silverlight : contournement de ASLR/DEP
mars 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer Microsoft Silverlight, afin de
contourner ASLR/DEP pour exploiter une autre vulnérabilité.
– Produits concernés : Silverlight
– Gravité : 2/4
– Date création : 11/03/2014
DESCRIPTION DE LA VULNÉRABILITÉ
La fonctionnalité ASLR (Address Space Layout Randomization) charge
les programmes à des adresses mémoire aléatoires, afin de rendre
plus difficile l’exploitation de corruptions de mémoire. La
fonctionnalité DEP (Data Execution Prevention) permet de ne pas
employer les pages mémoire non exécutables.
Cependant, Microsoft Silverlight peut être utilisé pour contourner
ASLR/DEP. Les détails techniques ne sont pas connus.
Un attaquant peut donc employer Microsoft Silverlight, afin de
contourner ASLR/DEP pour exploiter une autre vulnérabilité.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Microsoft-Silverlight-contournement-de-ASLR-DEP-14405