Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Microsoft .NET : accès à une socket réseau

août 2011 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut inviter la victime à visiter un site XBAP illicite, ou à accepter une application ASP.NET illicite, afin d’accéder à une socket réseau de la machine.

Gravité : 2/4

Date création : 10/08/2011

PRODUITS CONCERNÉS

- Microsoft .NET Framework
- Microsoft Windows 2003
- Microsoft Windows 2008
- Microsoft Windows 7
- Microsoft Windows Vista
- Microsoft Windows XP

DESCRIPTION DE LA VULNÉRABILITÉ

L’environnement Microsoft .NET Framework est utilisé pour exécuter  :
- les applications Microsoft .NET, en respectant leurs restrictions CAS (Code Access Security)
- les applications Microsoft ASP.NET, en limitant leurs fonctionnalités sur le site web
- les XAML Browser Application (XBAP), qui sont supportées par Internet Explorer

L’espace de noms (namespace) Microsoft .NET System.Net.Sockets fournit des classes et des énumérations pour utiliser Winsock.

Cependant, System.Net.Sockets ne valide pas les droits d’accès (trust level) aux méthodes.

Une application .NET illicite peut donc accéder au réseau (si le réseau était restreint par CAS). Une application ASP.NET illicite, que l’administrateur a accepté d’héberger sur son site web, peut donc accéder au réseau. Une application XBAP illicite hébergée sur un site web peut donc accéder au réseau de la victime navigant sur ce site avec Internet Explorer.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/M...




Voir les articles précédents

    

Voir les articles suivants