Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut inviter la victime à consulter un site illicite
ou à installer une application ASP.NET illicite, afin de faire
exécuter du code sur sa machine.

Gravité : 2/4

Date création : 12/10/2011

PRODUITS CONCERNÉS

– Microsoft .NET Framework
– Microsoft Silverlight
– Microsoft Windows 2003
– Microsoft Windows 2008
– Microsoft Windows 7
– Microsoft Windows Vista
– Microsoft Windows XP

DESCRIPTION DE LA VULNÉRABILITÉ

Les produits Microsoft .NET Framework et Microsoft Silverlight
installent des composants, qui permettent d’exécuter :
– une Microsoft .NET Application (ou ASP.NET)
– une Silverlight Application (éventuellement via Internet
Explorer et un plug-in/ActiveX)
– une XAML Browser Application (XBAP)

La fonctionnalité CAS (Code Access Security) permet de restreindre
les droits d’accès de l’application.

Cependant, une application illicite peut employer l’héritage des
classes, afin de contourner CAS.

Un attaquant peut donc inviter la victime à consulter un site
illicite ou à installer une application ASP.NET illicite, afin de
faire exécuter du code sur sa machine.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Microsoft-NET-Silverlight-execution-de-code-11052