Bulletin de sécurité Microsoft MS15-101 - Important

  • Article
  • 16 minutes de lecture

Des vulnérabilités dans .NET Framework pourraient permettre une élévation de privilèges (3089662)

Date de publication : 8 septembre 2015 | Date de mise à jour : 9 février 2016

Version : 1.2

Synthèse

Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft .NET Framework. La plus grave des vulnérabilités pourrait permettre une élévation de privilèges si un utilisateur exécutait une application .NET spécialement conçue. Toutefois, dans tous les cas, un attaquant n'aurait aucun moyen de forcer un utilisateur à exécuter l'application, ile devrait convaincre l'utilisateur de le faire.

Cette mise à jour de sécurité est de niveau « important » pour Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, Microsoft .NET Framework 4.5, Microsoft .NET Framework 4.5.1 et Microsoft .NET Framework 4.5.2 sur les éditions concernées de Microsoft Windows. Pour plus d'informations, consultez la section Logiciels concernés.

Cette mise à jour de sécurité corrige les vulnérabilités en modifiant la manière dont .NET Framework copie les objets en mémoire et la manière dont .NET Framework traite les requêtes spécialement conçues. Pour obtenir plus d'informations sur cette vulnérabilité, consultez la sous-section « Forum aux questions » spécifique à chaque vulnérabilité.

Pour plus d'informations sur cette mise à jour, voir l'Article 3089662 de la Base de connaissances Microsoft.

Logiciels concernés et indices de gravité de la vulnérabilité

Les versions ou éditions répertoriées ci-dessous sont concernées. Les versions ou éditions non répertoriées ont atteint la fin de leur cycle de vie ou ne sont pas concernées. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de septembre.

**Système d'exploitation** **Composant** [**Vulnérabilité d'élévation de privilèges dans .NET - CVE-2015-2504**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2504) [**Vulnérabilité de déni de service dans MVC - CVE-2015-2526**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2526) **Mises à jour remplacées**
**Windows Vista**
Windows Vista Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 **Important** Élévation de privilèges ([3074541](http://www.microsoft.com/fr-fr/download/details.aspx?id=48898)) Non applicable 3074541 – 2656374 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
Windows Vista Service Pack 2 Microsoft .NET Framework 4[1] **Important** Élévation de privilèges ([3074547](http://www.microsoft.com/fr-fr/download/details.aspx?id=48897)) Non applicable 3074547 – 2656368 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
Windows Vista Service Pack 2 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Important** Élévation de privilèges ([3074550](http://www.microsoft.com/fr-fr/download/details.aspx?id=48861)) **Important** Déni de service ([3074230](http://www.microsoft.com/fr-fr/download/details.aspx?id=48908)) 3074550 – Aucune 3074230 – Aucune
Windows Vista Service Pack 2 Microsoft .NET Framework 4.6 **Important** Élévation de privilèges ([3074554](http://www.microsoft.com/fr-fr/download/details.aspx?id=48849)) **Important** Déni de service ([3074233](http://www.microsoft.com/fr-fr/download/details.aspx?id=48892)) 3074554 – Aucune 3074233 – Aucune
Windows Vista Édition x64 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 **Important** Élévation de privilèges ([3074541](http://www.microsoft.com/fr-fr/download/details.aspx?id=48898)) Non applicable 3074541 – 2656374 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
Windows Vista Édition x64 Service Pack 2 Microsoft .NET Framework 4[1] **Important** Élévation de privilèges ([3074547](http://www.microsoft.com/fr-fr/download/details.aspx?id=48897)) Non applicable 3074547 – 2656368 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
Windows Vista Édition x64 Service Pack 2 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Important** Élévation de privilèges ([3074550](http://www.microsoft.com/fr-fr/download/details.aspx?id=48861)) **Important** Déni de service ([3074230](http://www.microsoft.com/fr-fr/download/details.aspx?id=48908)) 3074550 – Aucune 3074230 – Aucune
Windows Vista Édition x64 Service Pack 2 Microsoft .NET Framework 4.6 **Important** Élévation de privilèges ([3074554](http://www.microsoft.com/fr-fr/download/details.aspx?id=48849)) **Important** Déni de service ([3074233](http://www.microsoft.com/fr-fr/download/details.aspx?id=48892)) 3074554 – Aucune 3074233 – Aucune
**Windows Server 2008**
Windows Server 2008 pour systèmes 32 bits Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 **Important** Élévation de privilèges ([3074541](http://www.microsoft.com/fr-fr/download/details.aspx?id=48898)) Non applicable 3074541 – 2656374 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
Windows Server 2008 pour systèmes 32 bits Service Pack 2 Microsoft .NET Framework 4[1] **Important** Élévation de privilèges ([3074547](http://www.microsoft.com/fr-fr/download/details.aspx?id=48897)) Non applicable 3074547 – 2656368 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
Windows Server 2008 pour systèmes 32 bits Service Pack 2 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Important** Élévation de privilèges ([3074550](http://www.microsoft.com/fr-fr/download/details.aspx?id=48861)) **Important** Déni de service ([3074230](http://www.microsoft.com/fr-fr/download/details.aspx?id=48908)) 3074550 – Aucune 3074230 – Aucune
Windows Server 2008 pour systèmes 32 bits Service Pack 2 Microsoft .NET Framework 4.6 **Important** Élévation de privilèges ([3074554](http://www.microsoft.com/fr-fr/download/details.aspx?id=48849)) **Important** Déni de service ([3074233](http://www.microsoft.com/fr-fr/download/details.aspx?id=48892)) 3074554 – Aucune 3074233 – Aucune
Windows Server 2008 pour systèmes x64 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 **Important** Élévation de privilèges ([3074541](http://www.microsoft.com/fr-fr/download/details.aspx?id=48898)) Non applicable 3074541 – 2656374 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
Windows Server 2008 pour systèmes x64 Service Pack 2 Microsoft .NET Framework 4[1] **Important** Élévation de privilèges ([3074547](http://www.microsoft.com/fr-fr/download/details.aspx?id=48897)) Non applicable 3074547 – 2656368 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
Windows Server 2008 pour systèmes x64 Service Pack 2 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Important** Élévation de privilèges ([3074550](http://www.microsoft.com/fr-fr/download/details.aspx?id=48861)) **Important** Déni de service ([3074230](http://www.microsoft.com/fr-fr/download/details.aspx?id=48908)) 3074550 – Aucune 3074230 – Aucune
Windows Server 2008 pour systèmes x64 Service Pack 2 Microsoft .NET Framework 4.6 **Important** Élévation de privilèges ([3074554](http://www.microsoft.com/fr-fr/download/details.aspx?id=48849)) **Important** Déni de service ([3074233](http://www.microsoft.com/fr-fr/download/details.aspx?id=48892)) 3074554 – Aucune 3074233 – Aucune
Windows Server 2008 pour systèmes Itanium Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 **Important** Élévation de privilèges ([3074541](http://www.microsoft.com/fr-fr/download/details.aspx?id=48898)) Non applicable 3074541 – 2656374 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
Windows Server 2008 pour systèmes Itanium Service Pack 2 Microsoft .NET Framework 4[1] **Important** Élévation de privilèges ([3074547](http://www.microsoft.com/fr-fr/download/details.aspx?id=48897)) Non applicable 3074547 – 2656368 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
**Windows 7**
Windows 7 pour systèmes 32 bits Service Pack 1 Microsoft .NET Framework 3.5.1 **Important** Élévation de privilèges ([3074543](http://www.microsoft.com/fr-fr/download/details.aspx?id=48905)) Non applicable 3074543 – 2656373 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
Windows 7 pour systèmes 32 bits Service Pack 1 Microsoft .NET Framework 4[1] **Important** Élévation de privilèges ([3074547](http://www.microsoft.com/fr-fr/download/details.aspx?id=48897)) Non applicable 3074547 – 2656368 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
Windows 7 pour systèmes 32 bits Service Pack 1 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Important** Élévation de privilèges ([3074550](http://www.microsoft.com/fr-fr/download/details.aspx?id=48861)) **Important** Déni de service ([3074230](http://www.microsoft.com/fr-fr/download/details.aspx?id=48908)) 3074550 – Aucune 3074230 – Aucune
Windows 7 pour systèmes 32 bits Service Pack 1 Microsoft .NET Framework 4.6 **Important** Élévation de privilèges ([3074554](http://www.microsoft.com/fr-fr/download/details.aspx?id=48849)) **Important** Déni de service ([3074233](http://www.microsoft.com/fr-fr/download/details.aspx?id=48892)) 3074554 – Aucune 3074233 – Aucune
Windows 7 pour systèmes x64 Service Pack 1 Microsoft .NET Framework 3.5.1 **Important** Élévation de privilèges ([3074543](http://www.microsoft.com/fr-fr/download/details.aspx?id=48905)) Non applicable 3074543 – 2656373 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
Windows 7 pour systèmes x64 Service Pack 1 Microsoft .NET Framework 4[1] **Important** Élévation de privilèges ([3074547](http://www.microsoft.com/fr-fr/download/details.aspx?id=48897)) Non applicable 3074547 – 2656368 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
Windows 7 pour systèmes x64 Service Pack 1 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Important** Élévation de privilèges ([3074550](http://www.microsoft.com/fr-fr/download/details.aspx?id=48861)) **Important** Déni de service ([3074230](http://www.microsoft.com/fr-fr/download/details.aspx?id=48908)) 3074550 – Aucune 3074230 – Aucune
Windows 7 pour systèmes x64 Service Pack 1 Microsoft .NET Framework 4.6 **Important** Élévation de privilèges ([3074554](http://www.microsoft.com/fr-fr/download/details.aspx?id=48849)) **Important** Déni de service ([3074233](http://www.microsoft.com/fr-fr/download/details.aspx?id=48892)) 3074554 – Aucune 3074233 – Aucune
**Windows Server 2008 R2**
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 Microsoft .NET Framework 3.5.1 **Important** Élévation de privilèges ([3074543](http://www.microsoft.com/fr-fr/download/details.aspx?id=48905)) Non applicable 3074543 – 2656373 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 Microsoft .NET Framework 4[1] **Important** Élévation de privilèges ([3074547](http://www.microsoft.com/fr-fr/download/details.aspx?id=48897)) Non applicable 3074547 – 2656368 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Important** Élévation de privilèges ([3074550](http://www.microsoft.com/fr-fr/download/details.aspx?id=48861)) **Important** Déni de service ([3074230](http://www.microsoft.com/fr-fr/download/details.aspx?id=48908)) 3074550 – Aucune 3074230 – Aucune
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 Microsoft .NET Framework 4.6 **Important** Élévation de privilèges ([3074554](http://www.microsoft.com/fr-fr/download/details.aspx?id=48849)) **Important** Déni de service ([3074233](http://www.microsoft.com/fr-fr/download/details.aspx?id=48892)) 3074554 – Aucune 3074233 – Aucune
Windows Server 2008 R2 pour systèmes Itanium Service Pack 1 Microsoft .NET Framework 3.5.1 **Important** Élévation de privilèges ([3074543](http://www.microsoft.com/fr-fr/download/details.aspx?id=48905)) Non applicable 3074543 – 2656373 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
Windows Server 2008 R2 pour systèmes Itanium Service Pack 1 Microsoft .NET Framework 4[1] **Important** Élévation de privilèges ([3074547](http://www.microsoft.com/fr-fr/download/details.aspx?id=48897)) Non applicable 3074547 – 2656368 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
**Windows 8 et Windows 8.1**
Windows 8 pour systèmes 32 bits Microsoft .NET Framework 3,5 **Important** Élévation de privilèges ([3074544](http://www.microsoft.com/fr-fr/download/details.aspx?id=48902)) Non applicable 3074544 – Aucune
Windows 8 pour systèmes 32 bits Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Important** Élévation de privilèges ([3074229](http://www.microsoft.com/fr-fr/download/details.aspx?id=48847)) **Important** Déni de service ([3074549](http://www.microsoft.com/fr-fr/download/details.aspx?id=48894)) 3074229 – Aucune 3074549 – Aucune
Windows 8 pour systèmes 32 bits Microsoft .NET Framework 4.6 **Important** Élévation de privilèges ([3074552](http://www.microsoft.com/fr-fr/download/details.aspx?id=48836)) **Important** Déni de service ([3074231](http://www.microsoft.com/fr-fr/download/details.aspx?id=48889)) 3074552 – Aucune 3074231 – Aucune
Windows 8 pour systèmes x64 Microsoft .NET Framework 3,5 **Important** Élévation de privilèges ([3074544](http://www.microsoft.com/fr-fr/download/details.aspx?id=48902)) Non applicable 3074544 – Aucune
Windows 8 pour systèmes x64 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Important** Élévation de privilèges ([3074229](http://www.microsoft.com/fr-fr/download/details.aspx?id=48847)) **Important** Déni de service ([3074549](http://www.microsoft.com/fr-fr/download/details.aspx?id=48894)) 3074229 – Aucune 3074549 – Aucune
Windows 8 pour systèmes x64 Microsoft .NET Framework 4.6 **Important** Élévation de privilèges ([3074552](http://www.microsoft.com/fr-fr/download/details.aspx?id=48836)) **Important** Déni de service ([3074231](http://www.microsoft.com/fr-fr/download/details.aspx?id=48889)) 3074552 – Aucune 3074231 – Aucune
Windows 8.1 pour systèmes 32 bits Microsoft .NET Framework 3,5 **Important** Élévation de privilèges ([3074545](http://www.microsoft.com/fr-fr/download/details.aspx?id=48903)) Non applicable 3074545 – Aucune
Windows 8.1 pour systèmes 32 bits Microsoft .NET Framework 4.5.1/4.5.2 **Important** Élévation de privilèges ([3074548](http://www.microsoft.com/fr-fr/download/details.aspx?id=48896)) **Important** Déni de service ([3074228](http://www.microsoft.com/fr-fr/download/details.aspx?id=48904)) 3074548 – Aucune 3074228 – Aucune
Windows 8.1 pour systèmes 32 bits Microsoft .NET Framework 4.6 **Important** Élévation de privilèges ([3074553](http://www.microsoft.com/fr-fr/download/details.aspx?id=48842)) **Important** Déni de service ([3074232](http://www.microsoft.com/fr-fr/download/details.aspx?id=48893)) 3074553 – Aucune 3074232 – Aucune
Windows 8.1 pour systèmes x64 Microsoft .NET Framework 3,5 **Important** Élévation de privilèges ([3074545](http://www.microsoft.com/fr-fr/download/details.aspx?id=48903)) Non applicable 3074545 – Aucune
Windows 8.1 pour systèmes x64 Microsoft .NET Framework 4.5.1/4.5.2 **Important** Élévation de privilèges ([3074548](http://www.microsoft.com/fr-fr/download/details.aspx?id=48896)) **Important** Déni de service ([3074228](http://www.microsoft.com/fr-fr/download/details.aspx?id=48904)) 3074548 – Aucune 3074228 – Aucune
Windows 8.1 pour systèmes x64 Microsoft .NET Framework 4.6 **Important** Élévation de privilèges ([3074553](http://www.microsoft.com/fr-fr/download/details.aspx?id=48842)) **Important** Déni de service ([3074232](http://www.microsoft.com/fr-fr/download/details.aspx?id=48893)) 3074553 – Aucune 3074232 – Aucune
**Windows Server 2012 et Windows Server 2012 R2**
Windows Server 2012 Microsoft .NET Framework 3,5 **Important** Élévation de privilèges ([3074544](http://www.microsoft.com/fr-fr/download/details.aspx?id=48902)) Non applicable 3074544 – Aucune
Windows Server 2012 Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Important** Élévation de privilèges ([3074229](http://www.microsoft.com/fr-fr/download/details.aspx?id=48847)) **Important** Déni de service ([3074549](http://www.microsoft.com/fr-fr/download/details.aspx?id=48894)) 3074229 – Aucune 3074549 – Aucune
Windows Server 2012 Microsoft .NET Framework 4.6 **Important** Élévation de privilèges ([3074552](http://www.microsoft.com/fr-fr/download/details.aspx?id=48836)) **Important** Déni de service ([3074231](http://www.microsoft.com/fr-fr/download/details.aspx?id=48889)) 3074552 – Aucune 3074231 – Aucune
Windows Server 2012 R2 Microsoft .NET Framework 3,5 **Important** Élévation de privilèges ([3074545](http://www.microsoft.com/fr-fr/download/details.aspx?id=48903)) Non applicable 3074545 – Aucune
Windows Server 2012 R2 Microsoft .NET Framework 4.5.1/4.5.2 **Important** Élévation de privilèges ([3074548](http://www.microsoft.com/fr-fr/download/details.aspx?id=48896)) **Important** Déni de service ([3074228](http://www.microsoft.com/fr-fr/download/details.aspx?id=48904)) 3074548 – Aucune 3074228 – Aucune
Windows Server 2012 R2 Microsoft .NET Framework 4.6 **Important** Élévation de privilèges ([3074553](http://www.microsoft.com/fr-fr/download/details.aspx?id=48842)) **Important** Déni de service ([3074232](http://www.microsoft.com/fr-fr/download/details.aspx?id=48893)) 3074553 – Aucune 3074232 – Aucune
**Windows RT et Windows RT 8.1**
Windows RT Microsoft .NET Framework 4.5/4.5.1/4.5.2[2] **Important** Élévation de privilèges (3074229) **Important** Déni de service (3074549) 3074229 – Aucune 3074549 – Aucune
Windows RT Microsoft .NET Framework 4.6[2] **Important** Élévation de privilèges (3074552) **Important** Déni de service (3074231) 3074552 – Aucune 3074231 – Aucune
Windows RT 8.1 Microsoft .NET Framework 4.5.1/4.5.2[2] **Important** Élévation de privilèges (3074548) **Important** Déni de service (3074228) 3074548 – Aucune 3074228 – Aucune
Windows RT 8.1 Microsoft .NET Framework 4.6[2] **Important** Élévation de privilèges (3074553) **Important** Déni de service (3074232) 3074553 – Aucune 3074232 – Aucune
**Windows 10**
Windows 10 pour systèmes 32 bits[3] Microsoft .NET Framework 3,5 **Important** Élévation de privilèges ([3081455](https://support.microsoft.com/fr-fr/kb/3081455)) Non applicable [3081444](https://support.microsoft.com/fr-fr/kb/3081444)
Windows 10 pour systèmes 32 bits[3] Microsoft .NET Framework 4.6 **Important** Élévation de privilèges ([3081455](https://support.microsoft.com/fr-fr/kb/3081455)) **Important** Déni de service ([3081455](https://support.microsoft.com/fr-fr/kb/3081455)) [3081444](https://support.microsoft.com/fr-fr/kb/3081444)
Windows 10 pour systèmes x64 [3] Microsoft .NET Framework 3,5 **Important** Élévation de privilèges ([3081455](https://support.microsoft.com/fr-fr/kb/3081455)) Non applicable [3081444](https://support.microsoft.com/fr-fr/kb/3081444)
Windows 10 pour systèmes x64 [3] Microsoft .NET Framework 4.6 **Important** Élévation de privilèges ([3081455](https://support.microsoft.com/fr-fr/kb/3081455)) **Important** Déni de service ([3081455](https://support.microsoft.com/fr-fr/kb/3081455)) [3081444](https://support.microsoft.com/fr-fr/kb/3081444)
**Option d'installation Server Core**
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) Microsoft .NET Framework 3.5.1 **Important** Élévation de privilèges ([3074543](http://www.microsoft.com/fr-fr/download/details.aspx?id=48905)) Non applicable 3074543 – 2656373 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) Microsoft .NET Framework 4[1] **Important** Élévation de privilèges ([3074547](http://www.microsoft.com/fr-fr/download/details.aspx?id=48897)) Non applicable 3074547 – 2656368 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025)
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Important** Élévation de privilèges ([3074550](http://www.microsoft.com/fr-fr/download/details.aspx?id=48861)) **Important** Déni de service ([3074230](http://www.microsoft.com/fr-fr/download/details.aspx?id=48908)) 3074550 – Aucune 3074230 – Aucune
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) Microsoft .NET Framework 4.6 **Important** Élévation de privilèges ([3074554](http://www.microsoft.com/fr-fr/download/details.aspx?id=48849)) **Important** Déni de service ([3074233](http://www.microsoft.com/fr-fr/download/details.aspx?id=48892)) 3074554 – Aucune 3074233 – Aucune
Windows Server 2012 (installation Server Core) Microsoft .NET Framework 3,5 **Important** Élévation de privilèges ([3074544](http://www.microsoft.com/fr-fr/download/details.aspx?id=48902)) Non applicable 3074544 – Aucune
Windows Server 2012 (installation Server Core) Microsoft .NET Framework 4.5/4.5.1/4.5.2 **Important** Élévation de privilèges ([3074229](http://www.microsoft.com/fr-fr/download/details.aspx?id=48847)) **Important** Déni de service ([3074549](http://www.microsoft.com/fr-fr/download/details.aspx?id=48894)) 3074229 – Aucune 3074549 – Aucune
Windows Server 2012 (installation Server Core) Microsoft .NET Framework 4.6 **Important** Élévation de privilèges ([3074552](http://www.microsoft.com/fr-fr/download/details.aspx?id=48836)) **Important** Déni de service ([3074231](http://www.microsoft.com/fr-fr/download/details.aspx?id=48889)) 3074552 – Aucune 3074231 – Aucune
Windows Server 2012 R2 (installation Server Core) Microsoft .NET Framework 3,5 **Important** Élévation de privilèges ([3074545](http://www.microsoft.com/fr-fr/download/details.aspx?id=48903)) Non applicable 3074545 – Aucune
Windows Server 2012 R2 (installation Server Core) Microsoft .NET Framework 4.5.1/4.5.2 **Important** Élévation de privilèges ([3074548](http://www.microsoft.com/fr-fr/download/details.aspx?id=48896)) **Important** Déni de service ([3074228](http://www.microsoft.com/fr-fr/download/details.aspx?id=48904)) 3074548 – Aucune 3074228 – Aucune
Windows Server 2012 R2 (installation Server Core) Microsoft .NET Framework 4.6 **Important** Élévation de privilèges ([3074553](http://www.microsoft.com/fr-fr/download/details.aspx?id=48842)) **Important** Déni de service ([3074232](http://www.microsoft.com/fr-fr/download/details.aspx?id=48893)) 3074553 – Aucune 3074232 – Aucune
[1].NET Framework 4 et .NET Framework 4 Client Profile sont affectés.

[2]Cette mise à jour est disponible via Windows Update uniquement.

[3]La mise à jour de Windows 10 est cumulative. Outre des mises à jour non liées à la sécurité, elle contient également l'ensemble des correctifs de sécurité pour toutes les vulnérabilités concernant Windows 10 fournis dans la mise à jour de sécurité de ce mois. Consultez l'Article 3081455 de la Base de connaissances Microsoft pour plus d'informations et pour obtenir les liens de téléchargement.

Remarque Windows Server Technical Preview 2 est concerné. Les clients exécutant ce système d'exploitation sont invités à appliquer la mise à jour, qui est disponible via Windows Update

Forum aux questions concernant les mises à jour

Comment puis-je savoir quelle version de Microsoft .NET Framework est installée ?
Vous pouvez installer et exécuter plusieurs versions de .NET Framework sur un système et installer ces versions dans n'importe quel ordre. Pour plus d'informations, voir l'Article 318785 de la Base de connaissances Microsoft.

Quelle est la différence entre .NET Framework 4 et .NET Framework 4 Client Profile?  Les packages redistribuables .NET Framework version 4 sont disponibles en deux profils : .NET Framework 4 et .NET Framework 4 Client Profile. .NET Framework 4 Client Profile est un sous-ensemble du profil .NET Framework 4 optimisé pour les applications clientes. Il fournit des fonctionnalités pour la plupart des applications clientes, notamment Windows Presentation Foundation (WPF), Windows Forms, Windows Communication Foundation (WCF) et les fonctionnalités ClickOnce. Les applications qui ciblent .NET Framework 4 Client Profile bénéficient d'un déploiement plus rapide et de packages d'installation de plus petite taille. Pour plus d'informations, consultez l'article MSDN intitulé .NET Framework Client Profile

Plusieurs packages de mise à jour sont disponibles pour certains des logiciels concernés. Dois-je installer toutes les mises à jour répertoriées dans le tableau « Logiciels concernés » pour le logiciel ?
Oui. Les clients doivent appliquer toutes les mises à jour proposées pour les logiciels installés sur leur système.

Dois-je installer ces mises à jour de sécurité dans un ordre particulier ?
Non. Lorsqu'il existe plusieurs mises à jour pour un système donné, elles peuvent être appliquées dans n'importe quel ordre.

Informations par vulnérabilité

Vulnérabilité d'élévation de privilèges dans .NET - CVE-2015-2504

Il existe une vulnérabilité d'élévation de privilèges dans la façon dont .NET Framework valide le nombre d'objets en mémoire avant de copier ces objets dans un bloc. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle d'un système affecté. L'attaquant pourrait alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec moins de droits sur le système pourraient être moins touchés que ceux qui disposent de privilèges d'administrateur.

Il existe deux scénarios d'attaque possibles permettant d'exploiter cette vulnérabilité : un scénario de navigation web et un contournement des restrictions de sécurité d'accès du code (CAS) par l'application Windows .NET. Ces scénarios sont décrits comme suit :

  • Scénario d'attaque de navigation web Un attaquant pourrait héberger un site web spécialement conçu contenant une XBAP (application du navigateur XAML) spécialement conçue et pouvant exploiter cette vulnérabilité, puis convaincre un utilisateur de consulter le site web. L'attaquant pourrait également exploiter des sites web compromis et des sites web qui acceptent ou hébergent du contenu ou des annonces fournis par les utilisateurs. Toutefois, l'attaquant n'aurait aucun moyen de forcer l'utilisateur à visiter ces sites web. Il devrait le convaincre de visiter ce site web, généralement en l'incitant à cliquer sur un lien menant à son site dans un message électronique ou un message instantané. Il pourrait également afficher du contenu web spécialement conçu en utilisant des bannières publicitaires ou d'autres moyens afin d'envoyer du contenu web aux systèmes affectés.
  • Scénario d'attaque d'applications Windows .NET Cette vulnérabilité pourrait également être utilisée par des applications Windows .NET Framework pour contourner les restrictions de sécurité d'accès du code (CAS).

Deux types de systèmes sont exposés et décrits comme suit :

  • Scénario de navigation Web Une exploitation réussie de cette vulnérabilité nécessite qu'un utilisateur ait ouvert une session et visite des sites web avec un navigateur web capable d'instancier des applications XBAP. C'est pourquoi les systèmes sur lesquels un navigateur web est fréquemment utilisé (tels que les postes de travail ou les serveurs Terminal Server) sont les plus exposés à cette vulnérabilité. Les serveurs pourraient être plus exposés si les administrateurs autorisaient les utilisateurs à naviguer sur Internet et à consulter leur messagerie électronique depuis ceux-ci. Toutefois, les meilleures pratiques recommandent vivement de ne pas autoriser cela.
  • Applications Windows .NET Les postes de travail et les serveurs qui exécutent des applications Windows .NET Framework non fiables sont également exposés à cette vulnérabilité.

Cette mise à jour corrige la vulnérabilité en modifiant la façon dont .NET Framework copie les objets en mémoire. Cette vulnérabilité a été signalée publiquement. Elle a reçu le numéro « Common Vulnerability and Exposure » CVE-2015-2504. Lors de la publication initiale de ce Bulletin, Microsoft n'avait pas connaissance d'attaques visant à exploiter cette vulnérabilité.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Vulnérabilité de déni de service dans MVC - CVE-2015-2526

Une vulnérabilité de déni de service se produit lorsque l.NET ne parvient pas à traiter correctement certaines requêtes spécialement conçues. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait envoyer un petit nombre de requêtes spécialement conçues à un serveur ASP.NET, entraînant ainsi une dégradation des performances assez importante pour générer une condition de déni de service.

Un attaquant pourrait utiliser cette vulnérabilité pour créer une attaque de déni de service et interrompre la disponibilité de sites utilisant ASP.NET. Les systèmes directement connectés à Internet avec ASP.NET sont les plus exposés à cette vulnérabilité. Les sites web internes utilisant ASP.NET peuvent également être exposés à cette vulnérabilité. Cette mise à jour corrige la vulnérabilité en modifiant la façon dont .NET Framework traite des requêtes spécialement conçues.

Microsoft a été informée de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Lors de la publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.

Déploiement des mises à jour de sécurité

Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.

Remerciements

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations.  

Dédit de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions

  • V1.0 (8 septembre 2015) : Bulletin publié.
  • V1.1 (25 septembre 2015) : Windows Server Technical Preview 3 retiré de la note du bas du tableau Logiciel concerné, car il n'est pas affecté par les vulnérabilités décrites dans ce Bulletin de sécurité. Il s'agit d'une modification purement informative. Nos clients ayant déjà mis à jour leur système n'ont pas besoin d'entreprendre de nouvelle action.
  • V1.2 (9 février 2016) : Bulletin mis à jour pour annoncer une modification de la logique de détection dans la mise à jour 3074554 pour .NET Framework 4.6. Il s'agit d'une modification purement informative. Nos clients ayant déjà mis à jour leur système n'ont pas besoin d'entreprendre de nouvelle action.

Page générée le 04/02/2016 11:08-08:00.