L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Microsoft NET Framework

bulletin de vulnérabilité informatique CVE-2014-4149

Microsoft .NET : élévation de privilèges via .NET Remoting

Synthèse de la vulnérabilité

Un attaquant authentifié peut utiliser .NET Remoting de Microsoft .NET, afin d'élever ses privilèges.
Produits concernés : .NET Framework.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : compte utilisateur.
Date création : 12/11/2014.
Références : 3005210, CERTFR-2014-AVI-471, CVE-2014-4149, MS14-072, VIGILANCE-VUL-15618.

Description de la vulnérabilité

Le service .NET Remoting permet à des applications de communiquer et d'échanger des données.

Cependant, il ne vérifie pas correctement les objets avec TypeFilterLevel.

Un attaquant authentifié peut donc utiliser .NET Remoting de Microsoft .NET, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2014-4075

ASP.NET MVC : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de ASP.NET MVC, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : .NET Framework.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 14/10/2014.
Références : 2990942, CERTFR-2014-AVI-421, CVE-2014-4075, MS14-059, VIGILANCE-VUL-15475.

Description de la vulnérabilité

Le module ASP.NET MVC (Model View Controller) peut être utilisé par un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de ASP.NET MVC, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2014-4073 CVE-2014-4121 CVE-2014-4122

Microsoft .NET : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft .NET.
Produits concernés : .NET Framework.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 14/10/2014.
Références : 3000414, CERTFR-2014-AVI-423, CVE-2014-4073, CVE-2014-4121, CVE-2014-4122, MS14-057, VIGILANCE-VUL-15473.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft .NET.

Un attaquant peut forcer Internet Explorer à utiliser .NET avec ClickOnce, afin d'élever ses privilèges. [grav:2/4; CVE-2014-4073]

Un attaquant peut provoquer une corruption de mémoire dans iriParsing, afin de mener un déni de service, et éventuellement d'exécuter du code sur un serveur hébergeant une application .NET. [grav:4/4; CVE-2014-4121]

Un attaquant peut contourner la protection ASLR, afin d'exploiter plus facilement une corruption de mémoire. [grav:2/4; CVE-2014-4122]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2014-0253 CVE-2014-0257 CVE-2014-0295

Microsoft .NET : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft .NET.
Produits concernés : .NET Framework, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista, Windows XP.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 11/02/2014.
Dates révisions : 12/02/2014, 25/09/2014.
Références : 2916607, BID-65415, BID-65417, BID-65418, CERTFR-2014-AVI-064, CVE-2014-0253, CVE-2014-0257, CVE-2014-0295, MS14-009, VIGILANCE-VUL-14222.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft .NET.

Un attaquant peut employer une requête POST pour provoquer une erreur dans la gestion des connexions HTTP bloquées en attente ("stale"), afin de mener un déni de service. Cette vulnérabilité a la même origine que VIGILANCE-VUL-8809. [grav:2/4; BID-65415, CVE-2014-0253]

Un attaquant peut faire exécuter une méthode spéciale, afin de sortir de la sandbox, pour élever ses privilèges. [grav:3/4; BID-65417, CVE-2014-0257]

Un attaquant peut employer vsab7rt.dll, afin d'obtenir des informations sensibles sur l'organisation de la mémoire pour contourner ASLR. [grav:1/4; BID-65418, CVE-2014-0295]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2014-4072

Microsoft .NET : déni de service via collision de hachés

Synthèse de la vulnérabilité

Un attaquant peut envoyer des requêtes spéciales vers un service utilisant Microsoft .NET, afin de mener un déni de service.
Produits concernés : IIS, .NET Framework, Windows 2003, Windows 2008 R0, Windows 2008 R2, Windows 2012, Windows 7, Windows 8, Windows RT, Windows Vista.
Gravité : 3/4.
Conséquences : déni de service du serveur, déni de service du service, déni de service du client.
Provenance : client internet.
Date création : 09/09/2014.
Date révision : 18/09/2014.
Références : 2990931, CERTFR-2014-AVI-376, CVE-2014-4072, MS14-053, VIGILANCE-VUL-15312.

Description de la vulnérabilité

Le produit Microsoft .NET peut par exemple être utilisé sur un service web via ASP.NET.

Le bulletin VIGILANCE-VUL-11254 décrit une vulnérabilité qui permet de mener un déni de service sur de nombreuses applications, en utilisant des collisions de hachés. Cette vulnérabilité affecte aussi Microsoft .NET.

Un attaquant peut donc envoyer des requêtes spéciales vers un service utilisant Microsoft .NET, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2014-1806

Microsoft .NET : corruption de mémoire via TypeFilterLevel

Synthèse de la vulnérabilité

Un attaquant non authentifié peut provoquer une corruption de mémoire via Microsoft .NET Remoting, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : .NET Framework.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, déni de service du service.
Provenance : client intranet.
Date création : 13/05/2014.
Références : 2958732, CERTFR-2014-AVI-224, CVE-2014-1806, MS14-026, VIGILANCE-VUL-14744.

Description de la vulnérabilité

La technologie Microsoft .NET Remoting permet à deux applications de communiquer et de partager des objets.

Cependant, si un objet est malformé, la vérification TypeFilterLevel est incorrecte, et la mémoire est corrompue.

Un attaquant non authentifié peut donc provoquer une corruption de mémoire via Microsoft .NET Remoting, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique 13937

ASP.NET : exécution de code via View State

Synthèse de la vulnérabilité

Lorsque le MAC est désactivé, un attaquant peut envoyer un View State illicite vers un serveur ASP.NET, afin d'exécuter du code.
Produits concernés : IIS, .NET Framework.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 11/12/2013.
Références : 2905247, VIGILANCE-VUL-13937.

Description de la vulnérabilité

La fonctionnalité View State permet au navigateur web et au serveur d'échanger des informations au cours d'une session.

Le serveur utilise la fonctionnalité MAC (Machine Authentication Code) pour vérifier que le client n'ait pas modifié le contenu du View State. En effet, le View State peut contenir des données, qui sont directement exécutées sur le serveur.

Cependant ASP.NET autorise les administrateurs à désactiver MAC.

Lorsque le MAC est désactivé, un attaquant peut donc envoyer un View State illicite vers un serveur ASP.NET, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2013-5042

ASP.NET SignalR : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de ASP.NET SignalR, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : IIS, .NET Framework, Visual Studio.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 11/12/2013.
Références : 2905244, BID-64093, CERTA-2013-AVI-669, CVE-2013-5042, MS13-103, VIGILANCE-VUL-13933.

Description de la vulnérabilité

La bibliothèque ASP.NET SignalR permet d'établir une communication entre un navigateur web et un serveur web, à l'aide de JavaScript.

Cependant, elle ne filtre pas les données reçues avant de les insérer dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de ASP.NET SignalR, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2013-3128 CVE-2013-3860 CVE-2013-3861

Microsoft .NET : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft .NET.
Produits concernés : .NET Framework.
Gravité : 4/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 08/10/2013.
Références : 2878890, BID-62807, BID-62819, BID-62820, CERTA-2013-AVI-561, CVE-2013-3128, CVE-2013-3860, CVE-2013-3861, MS13-082, VIGILANCE-VUL-13560, ZDI-13-237.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft .NET.

Un attaquant peut provoquer une corruption de mémoire dans l'analyse d'une police OpenType, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-62819, CVE-2013-3128, ZDI-13-237]

Un attaquant peut étendre une entité d'un document XML signé, afin de mener un déni de service. [grav:2/4; BID-62820, CVE-2013-3860]

Un attaquant peut utiliser des données JSON malformées, afin de mener un déni de service. [grav:2/4; BID-62807, CVE-2013-3861]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2013-3129 CVE-2013-3131 CVE-2013-3132

Microsoft .NET, Silverlight : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Microsoft .NET et Silverlight.
Produits concernés : .NET Framework, Silverlight.
Gravité : 4/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 7.
Date création : 09/07/2013.
Références : 2861561, BID-60932, BID-60933, BID-60934, BID-60935, BID-60937, BID-60938, BID-60978, CERTA-2013-AVI-398, CERTA-2013-AVI-400, CVE-2013-3129, CVE-2013-3131, CVE-2013-3132, CVE-2013-3133, CVE-2013-3134, CVE-2013-3171, CVE-2013-3178, MS13-052, VIGILANCE-VUL-13080.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Microsoft .NET et Silverlight.

Un attaquant peut employer une police TrueType illicite, afin de faire exécuter du code sur l'ordinateur de la victime (VIGILANCE-VUL-13082). [grav:4/4; BID-60978, CERTA-2013-AVI-400, CVE-2013-3129]

Un attaquant peut provoquer une corruption de mémoire dans Array Access, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60932, CVE-2013-3131]

Un attaquant peut employer la Delegate Reflection, afin d'élever ses privilèges [grav:3/4; BID-60933, CVE-2013-3132]

Un attaquant peut injecter une méthode anonyme, afin d'élever ses privilèges [grav:3/4; BID-60934, CVE-2013-3133]

Un attaquant peut provoquer une corruption de mémoire liée à l'allocation d'un tableau, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; BID-60935, CVE-2013-3134]

Un attaquant peut employer Delegate Serialization, afin d'élever ses privilèges [grav:3/4; BID-60937, CVE-2013-3171]

Un attaquant peut déréférencer un pointeur NULL, afin de mener un déni de service. [grav:1/4; BID-60938, CVE-2013-3178]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Microsoft NET Framework :