Vigil@nce - Microsoft .NET, Silverlight : exécution de code
octobre 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut inviter la victime à consulter un site illicite
ou à installer une application ASP.NET illicite, afin de faire
exécuter du code sur sa machine.
Gravité : 2/4
Date création : 12/10/2011
PRODUITS CONCERNÉS
– Microsoft .NET Framework
– Microsoft Silverlight
– Microsoft Windows 2003
– Microsoft Windows 2008
– Microsoft Windows 7
– Microsoft Windows Vista
– Microsoft Windows XP
DESCRIPTION DE LA VULNÉRABILITÉ
Les produits Microsoft .NET Framework et Microsoft Silverlight
installent des composants, qui permettent d’exécuter :
– une Microsoft .NET Application (ou ASP.NET)
– une Silverlight Application (éventuellement via Internet
Explorer et un plug-in/ActiveX)
– une XAML Browser Application (XBAP)
La fonctionnalité CAS (Code Access Security) permet de restreindre
les droits d’accès de l’application.
Cependant, une application illicite peut employer l’héritage des
classes, afin de contourner CAS.
Un attaquant peut donc inviter la victime à consulter un site
illicite ou à installer une application ASP.NET illicite, afin de
faire exécuter du code sur sa machine.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Microsoft-NET-Silverlight-execution-de-code-11052