Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut inviter la victime à visiter un site XBAP
illicite, ou à accepter une application ASP.NET illicite, afin
d’accéder à une socket réseau de la machine.

Gravité : 2/4

Date création : 10/08/2011

PRODUITS CONCERNÉS

– Microsoft .NET Framework
– Microsoft Windows 2003
– Microsoft Windows 2008
– Microsoft Windows 7
– Microsoft Windows Vista
– Microsoft Windows XP

DESCRIPTION DE LA VULNÉRABILITÉ

L’environnement Microsoft .NET Framework est utilisé pour exécuter
 :
– les applications Microsoft .NET, en respectant leurs
restrictions CAS (Code Access Security)
– les applications Microsoft ASP.NET, en limitant leurs
fonctionnalités sur le site web
– les XAML Browser Application (XBAP), qui sont supportées par
Internet Explorer

L’espace de noms (namespace) Microsoft .NET System.Net.Sockets
fournit des classes et des énumérations pour utiliser Winsock.

Cependant, System.Net.Sockets ne valide pas les droits d’accès
(trust level) aux méthodes.

Une application .NET illicite peut donc accéder au réseau (si le
réseau était restreint par CAS).
Une application ASP.NET illicite, que l’administrateur a accepté
d’héberger sur son site web, peut donc accéder au réseau.
Une application XBAP illicite hébergée sur un site web peut donc
accéder au réseau de la victime navigant sur ce site avec Internet
Explorer.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Microsoft-NET-acces-a-une-socket-reseau-10907