Vigil@nce : Windows, vulnérabilités de Kerberos
février 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer deux vulnérabilités dans
l’implémentation Kerberos de Windows, afin d’élever ses
privilèges, ou de négocier un algorithme faible.
– Gravité : 2/4
– Date création : 09/02/2011
PRODUITS CONCERNÉS
– Microsoft Windows 2003
– Microsoft Windows 2008
– Microsoft Windows 7
– Microsoft Windows XP
DESCRIPTION DE LA VULNÉRABILITÉ
Deux vulnérabilités ont été annoncées dans l’implémentation
Kerberos de Windows.
Sous Windows 7/2008R2, un attaquant peut se placer en
Man-in-the-Middle, afin de forcer l’utilisation d’un algorithme
faible, comme DES. [grav:1/4 ; BID-46140, CVE-2011-0091]
Sous Windows XP/2003, un attaquant local peut employer un checksum
sans clé (comme CRC32) afin de s’authentifier avec les privilèges
du système. [grav:2/4 ; BID-46130, CVE-2011-0043]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Windows-vulnerabilites-de-Kerberos-10351