Bulletin de sécurité Microsoft MS14-072 - Important
La vulnérabilité dans .NET Framework peut autoriser l’élévation de privilèges (3005210)
Publication : 11 novembre 2014
Version : 1.0
Résumé
Cette mise à jour de sécurité résout une vulnérabilité signalée en privé dans Microsoft .NET Framework. La vulnérabilité peut autoriser l’élévation de privilèges si un attaquant envoie des données spécialement conçues à une station de travail ou un serveur affecté qui utilise la communication à distance .NET. Seules les applications personnalisées spécifiquement conçues pour utiliser la communication à distance .NET exposeraient un système à la vulnérabilité.
Cette mise à jour de sécurité est évaluée comme importante pour Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, Microsoft .NET Framework 4.5, Microsoft .NET Framework 4.5.1 et Microsoft .NET Framework 4.5.2 sur les versions affectées de Microsoft Windows. Pour plus d’informations, consultez la section Logiciels affectés.
La mise à jour de sécurité résout la vulnérabilité en appliquant correctement les contrôles de sécurité pour la mémoire de l’application. Pour plus d’informations sur la vulnérabilité, consultez la sous-section Questions fréquentes (FAQ) sur la vulnérabilité spécifique.
Pour plus d’informations sur cette mise à jour, consultez l’article de la Base de connaissances Microsoft 3005210.
Logiciel affecté
Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.
Système d’exploitation | Composant | Impact maximal sur la sécurité | Évaluation de gravité agrégée | Mises à jour remplacé |
---|---|---|---|---|
Windows Server 2003 | ||||
Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1 (2978114) | Élévation de privilège | Important | 2931352 dans MS14-026 |
Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (2978124) | Élévation de privilège | Important | 2932079 dans MS14-026 |
Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 4[1](2978125) | Élévation de privilège | Important | 2931365 dans MS14-026 |
Windows Server 2003 x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (2978124) | Élévation de privilège | Important | 2932079 dans MS14-026 |
Windows Server 2003 x64 Edition Service Pack 2 | Microsoft .NET Framework 4[1](2978125) | Élévation de privilège | Important | 2931365 dans MS14-026 |
Windows Server 2003 avec SP2 pour les systèmes Itanium | Microsoft .NET Framework 2.0 Service Pack 2 (2978124) | Élévation de privilège | Important | 2932079 dans MS14-026 |
Windows Server 2003 avec SP2 pour les systèmes Itanium | Microsoft .NET Framework 4[1](2978125) | Élévation de privilège | Important | 2931365 dans MS14-026 |
Windows Vista | ||||
Windows Vista Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (2978116) | Élévation de privilège | Important | Aucun |
Windows Vista Service Pack 2 | Microsoft .NET Framework 4[1](2978125) | Élévation de privilège | Important | 2931365 dans MS14-026 |
Windows Vista Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (2978128) | Élévation de privilège | Important | 2931368 dans MS14-026 |
Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (2978116) | Élévation de privilège | Important | Aucun |
Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4[1](2978125) | Élévation de privilège | Important | 2931365 dans MS14-026 |
Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (2978128) | Élévation de privilège | Important | 2931368 dans MS14-026 |
Windows Server 2008 | ||||
Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (2978116) | Élévation de privilège | Important | Aucun |
Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Microsoft .NET Framework 4[1](2978125) | Élévation de privilège | Important | 2931365 dans MS14-026 |
Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (2978128) | Élévation de privilège | Important | 2931368 dans MS14-026 |
Windows Server 2008 pour systèmes x64 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (2978116) | Élévation de privilège | Important | Aucun |
Windows Server 2008 pour systèmes x64 Service Pack 2 | Microsoft .NET Framework 4[1](2978125) | Élévation de privilège | Important | 2931365 dans MS14-026 |
Windows Server 2008 pour systèmes x64 Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (2978128) | Élévation de privilège | Important | 2931368 dans MS14-026 |
Windows Server 2008 pour les systèmes Itanium Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (2978116) | Élévation de privilège | Important | Aucun |
Windows Server 2008 pour les systèmes Itanium Service Pack 2 | Microsoft .NET Framework 4[1](2978125) | Élévation de privilège | Important | 2931365 dans MS14-026 |
Windows 7 | ||||
Windows 7 pour systèmes 32 bits Service Pack 1 | Microsoft .NET Framework 3.5.1 (2978120) | Élévation de privilège | Important | Aucun |
Windows 7 pour systèmes 32 bits Service Pack 1 | Microsoft .NET Framework 4[1](2978125) | Élévation de privilège | Important | 2931365 dans MS14-026 |
Windows 7 pour systèmes 32 bits Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (2978128) | Élévation de privilège | Important | 2931368 dans MS14-026 |
Windows 7 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (2978120) | Élévation de privilège | Important | Aucun |
Windows 7 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4[1](2978125) | Élévation de privilège | Important | 2931365 dans MS14-026 |
Windows 7 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (2978128) | Élévation de privilège | Important | 2931368 dans MS14-026 |
Windows Server 2008 R2 | ||||
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (2978120) | Élévation de privilège | Important | Aucun |
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4[1](2978125) | Élévation de privilège | Important | 2931365 dans MS14-026 |
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (2978128) | Élévation de privilège | Important | 2931368 dans MS14-026 |
Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 | Microsoft .NET Framework 3.5.1 (2978120) | Élévation de privilège | Important | Aucun |
Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 | Microsoft .NET Framework 4[1](2978125) | Élévation de privilège | Important | 2931365 dans MS14-026 |
Windows 8 et Windows 8.1 | ||||
Windows 8 pour les systèmes 32 bits | Microsoft .NET Framework 3.5 (2978121) | Élévation de privilège | Important | 2931357 dans MS14-026 |
Windows 8 pour les systèmes 32 bits | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (2978127) | Élévation de privilège | Important | 2931367 dans MS14-026 |
Windows 8 pour systèmes x64 | Microsoft .NET Framework 3.5 (2978121) | Élévation de privilège | Important | 2931357 dans MS14-026 |
Windows 8 pour systèmes x64 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (2978127) | Élévation de privilège | Important | 2931367 dans MS14-026 |
Windows 8.1 pour les systèmes 32 bits | Microsoft .NET Framework 3.5 (2978122) | Élévation de privilège | Important | 2931358 dans MS14-026 |
Windows 8.1 pour les systèmes 32 bits | Microsoft .NET Framework 4.5.1/4.5.2 (2978126) | Élévation de privilège | Important | 2931366 dans MS14-026 |
Windows 8.1 pour les systèmes x64 | Microsoft .NET Framework 3.5 (2978122) | Élévation de privilège | Important | 2931358 dans MS14-026 |
Windows 8.1 pour les systèmes x64 | Microsoft .NET Framework 4.5.1/4.5.2 (2978126) | Élévation de privilège | Important | 2931366 dans MS14-026 |
Windows Server 2012 et Windows Server 2012 R2 | ||||
Windows Server 2012 | Microsoft .NET Framework 3.5 (2978121) | Élévation de privilège | Important | 2931357 dans MS14-026 |
Windows Server 2012 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (2978127) | Élévation de privilège | Important | 2931367 dans MS14-026 |
Windows Server 2012 R2 | Microsoft .NET Framework 3.5 (2978122) | Élévation de privilège | Important | 2931358 dans MS14-026 |
Windows Server 2012 R2 | Microsoft .NET Framework 4.5.1/4.5.2 (2978126) | Élévation de privilège | Important | 2931366 dans MS14-026 |
Windows RT et Windows RT 8.1 | ||||
Windows RT | Microsoft .NET Framework 4.5/4.5.1/4.5.2[2](2978127) | Élévation de privilège | Important | 2931367 dans MS14-026 |
Windows RT 8.1 | Microsoft .NET Framework 4.5.1/4.5.2[2](2978126) | Élévation de privilège | Important | 2931366 dans MS14-026 |
Option d’installation server Core | ||||
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) | Microsoft .NET Framework 3.5.1 (2978120) | Élévation de privilège | Important | Aucun |
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) | Microsoft .NET Framework 4[1](2978125) | Élévation de privilège | Important | 2931365 dans MS14-026 |
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (2978128) | Élévation de privilège | Important | 2931368 dans MS14-026 |
Windows Server 2012 (installation minimale) | Microsoft .NET Framework 3.5 (2978121) | Élévation de privilège | Important | 2931357 dans MS14-026 |
Windows Server 2012 (installation minimale) | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (2978127) | Élévation de privilège | Important | 2931367 dans MS14-026 |
Windows Server 2012 R2 (installation minimale) | Microsoft .NET Framework 3.5 (2978122) | Élévation de privilège | Important | 2931358 dans MS14-026 |
Windows Server 2012 R2 (installation minimale) | Microsoft .NET Framework 4.5.1/4.5.2 (2978126) | Élévation de privilège | Important | 2931366 dans MS14-026 |
[1]. Profil client NET Framework 4 et .NET Framework 4 affecté.
[2]Cette mise à jour est disponible uniquement via Windows Update .
Faq sur la mise à jour
Comment faire déterminer quelle version de Microsoft .NET Framework est installée ?
Vous pouvez installer et exécuter plusieurs versions de .NET Framework sur un système et installer les versions dans n’importe quel ordre. Pour plus d’informations, consultez l’article 318785 de la Base de connaissances Microsoft.
Quelle est la différence entre le profil client .NET Framework 4 et .NET Framework 4 ?
Les packages redistribuables .NET Framework version 4 sont disponibles dans deux profils : .NET Framework 4 et .NET Framework 4 Client Profile. Le profil client .NET Framework 4 est un sous-ensemble du profil .NET Framework 4 optimisé pour les applications clientes. Il fournit des fonctionnalités pour la plupart des applications clientes, notamment windows Presentation Foundation (WPF), Windows Forms, Windows Communication Foundation (WCF) et les fonctionnalités ClickOnce. Cela permet un déploiement plus rapide et un package d’installation plus petit pour les applications qui ciblent le profil client .NET Framework 4. Pour plus d’informations, consultez l’article MSDN, .NET Framework Client Profile.
Quelles sont les meilleures pratiques pour la communication entre les points de terminaison de service .NET ?
Utilisez Windows Communication Foundation (WCF) pour envoyer des données en tant que messages asynchrones d’un point de terminaison de service à un autre. WCF inclut des améliorations significatives en matière de fonctionnalités, de performances et de sécurité, et nous recommandons vivement aux clients d’utiliser l’infrastructure WCF lors de la création d’applications orientées service. Nous vous recommandons également de mettre à jour l’existant . Applications gérées par NET utilisant des technologies IPC plus anciennes, telles que DCOM ou Remoting, pour utiliser WCF.
Pour obtenir des conseils supplémentaires sur WCF, consultez les ressources suivantes :
- Présentation de Windows Communication Foundation
- Informations détaillées sur les fonctionnalités de WCF
- Transfert de données et sérialisation
- Aide sur la communication à distance vers WCF
Il existe plusieurs packages de mise à jour disponibles pour certains des logiciels affectés. Dois-je installer toutes les mises à jour répertoriées dans la table Software affectée pour le logiciel ?
Oui. Les clients doivent appliquer toutes les mises à jour proposées pour le logiciel installé sur leurs systèmes.
Dois-je installer ces mises à jour de sécurité dans une séquence particulière ?
Non. Plusieurs mises à jour pour un système donné peuvent être appliquées dans n’importe quelle séquence.
Évaluations de gravité et identificateurs de vulnérabilité
Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de novembre.
Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés | ||
---|---|---|
Logiciel affecté | Vulnérabilité TypeFilterLevel - CVE-2014-4149 | Évaluation de gravité agrégée |
Microsoft .NET Framework 1.1 Service Pack 1 | ||
Microsoft .NET Framework 1.1 Service Pack 1 sur Microsoft Windows Server 2003 Service Pack 2 (2978114) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 2.0 Service Pack 2 | ||
Microsoft .NET Framework 2.0 Service Pack 2 lorsqu’il est installé sur Microsoft Windows Server 2003 Service Pack 2 (2978124) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 2.0 Service Pack 2 lorsqu’il est installé sur Microsoft Windows Server 2003 x64 Edition Service Pack 2 (2978124) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 2.0 Service Pack 2 lorsqu’il est installé sur Microsoft Windows Server 2003 pour les systèmes Itanium Service Pack 2 (2978124) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Vista Service Pack 2 (2978116) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Vista x64 Edition Service Pack 2 (2978116) | Important\ Élévation de privilèges | Important |
Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Server 2008 pour systèmes 32 bits Service Pack 2 (2978116) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Server 2008 pour systèmes x64 Service Pack 2 (2978116) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Server 2008 pour les systèmes itanium Service Pack 2 (2978116) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 3.5 | ||
Microsoft .NET Framework 3.5 sur Windows 8 pour les systèmes 32 bits (2978121) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 3.5 sur Windows 8 pour systèmes x64 (2978121) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 3.5 sur Windows Server 2012 (2978121) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 3.5 sur Windows Server 2012 (installation Server Core) (2978121) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 3.5 sur Windows 8.1 pour les systèmes 32 bits (2978122) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 3.5 sur Windows 8.1 pour les systèmes x64 (2978122) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 3.5 sur Windows Server 2012 R2 (2978122) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 3.5 sur Windows Server 2012 R2 (installation Server Core) (2978122) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 3.5.1 | ||
Microsoft .NET Framework 3.5.1 sur Windows 7 pour systèmes 32 bits Service Pack 1 (2978120) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 3.5.1 sur Windows 7 pour systèmes x64 Service Pack 1 (2978120) | Important\ Élévation de privilèges | Important |
Microsoft .NET Framework 3.5.1 sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (2978120) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 3.5.1 sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) (2978120) | Important\ Élévation de privilèges | Important |
Microsoft .NET Framework 3.5.1 sur Windows Server 2008 R2 pour systèmes Itanium Service Pack 1 (2978120) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 4 | ||
Microsoft .NET Framework 4 installé sur Windows Server 2003 Service Pack 2 (2978125)[1] | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 4 installé sur Windows Server 2003 x64 Edition Service Pack 2 (2978125)[1] | Important\ Élévation de privilèges | Important |
Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2003 avec SP2 pour les systèmes itanium (2978125)[1] | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 4 sur Windows Vista Service Pack 2 (2978125)[1] | Important\ Élévation de privilèges | Important |
Microsoft .NET Framework 4 sur Windows Vista x64 Edition Service Pack 2 (2978125)[1] | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2008 pour systèmes 32 bits Service Pack 2 (2978125)[1] | Important\ Élévation de privilèges | Important |
Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2008 pour systèmes x64 Service Pack 2 (2978125)[1] | Important\ Élévation de privilèges | Important |
Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2008 pour les systèmes Itanium Service Pack 2 (2978125)[1] | Important\ Élévation de privilèges | Important |
Microsoft .NET Framework 4 lorsqu’il est installé sur Windows 7 pour systèmes 32 bits Service Pack 1 (2978125)[1] | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 4 lorsqu’il est installé sur Windows 7 pour systèmes x64 Service Pack 1 (2978125)[1] | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (2978125)[1] | Important\ Élévation de privilèges | Important |
Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) (2978125)[1] | Important\ Élévation de privilèges | Important |
Microsoft .NET Framework 4 quand il est installé sur Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 (2978125)[1] | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 4.5/4.5.1/4.5.2 | ||
Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows Vista Service Pack 2 (2978128) | Important\ Élévation de privilèges | Important |
Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows Vista x64 Edition Service Pack 2 (2978128) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 4.5/4.5.1/4.5.2 lorsqu’il est installé sur Windows Server 2008 pour systèmes 32 bits Service Pack 2 (2978128) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 4/4.5.1/4.5.2 lorsqu’il est installé sur Windows Server 2008 pour systèmes x64 Service Pack 2 (2978128) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows 7 pour systèmes 32 bits Service Pack 1 (2978128) | Important\ Élévation de privilèges | Important |
Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows 7 pour systèmes x64 Service Pack 1 (2978128) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (2978128) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) (2978128) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows 8 pour les systèmes 32 bits (2978127) | Important\ Élévation de privilèges | Important |
Microsoft .NET Framework 4.5.1/4.5.2 sur Windows 8.1 pour les systèmes 32 bits (2978126) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows 8 pour systèmes x64 (2978127) | Important\ Élévation de privilèges | Important |
Microsoft .NET Framework 4.5.1/4.5.2 sur Windows 8.1 pour les systèmes x64 (2978126) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows Server 2012 (2978127) | Important\ Élévation de privilèges | Important |
Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows Server 2012 (installation Server Core) (2978127) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 4.5.1/4.5.2 sur Windows Server 2012 R2 (2978126) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 4.5.1/4.5.2 sur Windows Server 2012 R2 (installation Server Core) (2978126) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows RT (2978127) | Important \ Élévation de privilèges | Important |
Microsoft .NET Framework 4.5.1/4.5.2 sur Windows RT 8.1 (2978126) | Important \ Élévation de privilèges | Important |
[1]. Profil client NET Framework 4 et .NET Framework 4 affecté.
Vulnérabilité TypeFilterLevel - CVE-2014-4149
Une vulnérabilité d’élévation de privilèges existe de la façon dont .NET Framework gère TypeFilterLevel case activée s pour certains objets mal formés. Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Lorsque ce bulletin de sécurité a été émis, Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients. La mise à jour résout la vulnérabilité en garantissant que .NET Framework applique correctement les contrôles de sécurité pour la mémoire de l’application.
Facteurs d’atténuation
Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :
- La communication à distance .NET n’est pas largement utilisée par les applications ; seules les applications personnalisées qui ont été spécifiquement conçues pour utiliser .NET Remoting exposeraient un système à la vulnérabilité.
- Les points de terminaison de communication à distance .NET ne sont pas accessibles aux clients anonymes par défaut.
Solutions de contournement
Les solutions de contournement suivantes peuvent être utiles dans votre situation :
Activer la sécurité lors de l’inscription d’un canal
L’activation de la sécurité lors de l’inscription d’un canal permet uniquement aux clients authentifiés d’interagir avec le serveur vulnérable. Pour plus d’informations, consultez Authentification avec le canal TCP.
Bloquer le trafic sortant du point de terminaison de communication à distance au niveau du pare-feu
La configuration de votre pare-feu pour bloquer le trafic à partir du point de terminaison de communication à distance permet d’empêcher l’exploitation de cette vulnérabilité.
FAQ
Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut prendre le contrôle complet du système concerné. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets.
Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Un attaquant peut envoyer des données spécialement conçues à une station de travail ou un serveur affecté qui utilise la communication à distance .NET, ce qui permet à l’attaquant d’exécuter du code arbitraire sur le système ciblé.
Quels systèmes sont principalement exposés à la vulnérabilité ?
Les systèmes exécutant des versions affectées de .NET Framework qui utilisent la communication à distance .NET sont principalement exposés à cette vulnérabilité.
Déploiement des mises à jour de sécurité
Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.
Remerciements
Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (11 novembre 2014) : Bulletin publié.
Page générée 2015-01-14 11 :53Z-08 :00.