Bulletin de sécurité Microsoft MS16-019 - Important
Mise à jour de sécurité pour .NET Framework afin de résoudre un déni de service (3137893)
Date de publication : 9 février 2016
Version : 1.0
Synthèse
Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft .NET Framework. La plus sévère des vulnérabilités pourrait provoquer un déni de service si un attaquant insérait du langage XSLT spécialement conçu dans un composant WebPart XML côté client. En conséquence, le serveur compilerait des transformations XSLT de manière récursive.
Cette mise à jour de sécurité est de niveau « important » pour Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6 et Microsoft .NET Framework 4.6.1 sur les éditions concernées de Microsoft Windows. Pour plus d'informations, consultez la section Logiciels concernés.
Cette mise à jour de sécurité corrige les vulnérabilités en modifiant la manière dont Microsoft WinForms valide les résultats du décodeur et la manière dont .NET Framework traite les transformations XSLT. Pour plus d'informations sur la vulnérabilité, consultez la section Informations par vulnérabilité.
Pour plus d'informations sur cette mise à jour, voir l'Article 3137893 de la Base de connaissances Microsoft.
Logiciels concernés et indices de gravité de la vulnérabilité
Les versions ou éditions répertoriées ci-dessous sont concernées. Les versions ou éditions non répertoriées ont atteint la fin de leur cycle de vie ou ne sont pas concernées. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.
Les indices de gravité indiqués pour chaque logiciel concerné supposent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin de sécurité concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact en matière de sécurité, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité de février.
| **Système d'exploitation** | **Composant** | [**Vulnérabilité de déni de service liée au dépassement de la capacité de la pile dans .NET Framework - CVE-2016-0033**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0033) | [**Vulnérabilité de divulgation d'informations dans Windows Forms - CVE-2016-0047**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0047) | **Mises à jour remplacées** |
| **Windows Vista** | ||||
| Windows Vista Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 | **Important** Déni de service ([3122646](https://www.microsoft.com/fr-fr/download/details.aspx?id=50842)) | **Important** Divulgation d'informations ([3127219](https://www.microsoft.com/fr-fr/download/details.aspx?id=50885)) | 3122646 – Aucune 3127219 remplace 2656374 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025) |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.5.2[1] | **Important** Déni de service ([3122656](https://www.microsoft.com/fr-fr/download/details.aspx?id=50837)) | **Important** Divulgation d'informations ([3127229](https://www.microsoft.com/fr-fr/download/details.aspx?id=50919)) | Aucune |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.6[1] | **Important** Déni de service ([3122661](https://www.microsoft.com/fr-fr/download/details.aspx?id=51072)) | **Important** Divulgation d'informations ([3127233](https://www.microsoft.com/fr-fr/download/details.aspx?id=51039)) | Aucune |
| Windows Vista Édition x64 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 | **Important** Déni de service ([3122646](https://www.microsoft.com/fr-fr/download/details.aspx?id=50842)) | **Important** Divulgation d'informations ([3127219](https://www.microsoft.com/fr-fr/download/details.aspx?id=50885)) | 3122646 – Aucune 3127219 remplace 2656374 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025) |
| Windows Vista Édition x64 Service Pack 2 | Microsoft .NET Framework 4.5.2[1] | **Important** Déni de service ([3122656](https://www.microsoft.com/fr-fr/download/details.aspx?id=50837)) | **Important** Divulgation d'informations ([3127229](https://www.microsoft.com/fr-fr/download/details.aspx?id=50919)) | Aucune |
| Windows Vista Édition x64 Service Pack 2 | Microsoft .NET Framework 4.6[1] | **Important** Déni de service ([3122661](https://www.microsoft.com/fr-fr/download/details.aspx?id=51072)) | **Important** Divulgation d'informations ([3127233](https://www.microsoft.com/fr-fr/download/details.aspx?id=51039)) | Aucune |
| **Windows Server 2008** | ||||
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 | **Important** Déni de service ([3122646](https://www.microsoft.com/fr-fr/download/details.aspx?id=50842)) | **Important** Divulgation d'informations ([3127219](https://www.microsoft.com/fr-fr/download/details.aspx?id=50885)) | 3122646 – Aucune 3127219 remplace 2656374 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025) |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Microsoft .NET Framework 4.5.2[1] | **Important** Déni de service ([3122656](https://www.microsoft.com/fr-fr/download/details.aspx?id=50837)) | **Important** Divulgation d'informations ([3127229](https://www.microsoft.com/fr-fr/download/details.aspx?id=50919)) | Aucune |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Microsoft .NET Framework 4.6[1] | **Important** Déni de service ([3122661](https://www.microsoft.com/fr-fr/download/details.aspx?id=51072)) | **Important** Divulgation d'informations ([3127233](https://www.microsoft.com/fr-fr/download/details.aspx?id=51039)) | Aucune |
| Windows Server 2008 pour systèmes x64 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 | **Important** Déni de service ([3122646](https://www.microsoft.com/fr-fr/download/details.aspx?id=50842)) | **Important** Divulgation d'informations ([3127219](https://www.microsoft.com/fr-fr/download/details.aspx?id=50885)) | 3122646 – Aucune 3127219 remplace 2656374 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025) |
| Windows Server 2008 pour systèmes x64 Service Pack 2 | Microsoft .NET Framework 4.5.2[1] | **Important** Déni de service ([3122656](https://www.microsoft.com/fr-fr/download/details.aspx?id=50837)) | **Important** Divulgation d'informations ([3127229](https://www.microsoft.com/fr-fr/download/details.aspx?id=50919)) | Aucune |
| Windows Server 2008 pour systèmes x64 Service Pack 2 | Microsoft .NET Framework 4.6[1] | **Important** Déni de service ([3122661](https://www.microsoft.com/fr-fr/download/details.aspx?id=51072)) | **Important** Divulgation d'informations ([3127233](https://www.microsoft.com/fr-fr/download/details.aspx?id=51039)) | Aucune |
| Windows Server 2008 pour systèmes Itanium Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 | **Important** Déni de service ([3122646](https://www.microsoft.com/fr-fr/download/details.aspx?id=50842)) | **Important** Divulgation d'informations ([3127219](https://www.microsoft.com/fr-fr/download/details.aspx?id=50885)) | 3122646 – Aucune 3127219 remplace 2656374 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025) |
| **Windows 7** | ||||
| Windows 7 pour systèmes 32 bits Service Pack 1 | Microsoft .NET Framework 3.5.1 | **Important** Déni de service ([3122648](https://www.microsoft.com/fr-fr/download/details.aspx?id=50970)) | **Important** Divulgation d'informations ([3127220](https://www.microsoft.com/fr-fr/download/details.aspx?id=50865)) | Aucune 3127220 remplace 2656373 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025) |
| Windows 7 pour systèmes 32 bits Service Pack 1 | Microsoft .NET Framework 4.5.2[1] | **Important** Déni de service ([3122656](https://www.microsoft.com/fr-fr/download/details.aspx?id=50837)) | **Important** Divulgation d'informations ([3127229](https://www.microsoft.com/fr-fr/download/details.aspx?id=50919)) | Aucune |
| Windows 7 pour systèmes 32 bits Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1 | **Important** Déni de service ([3122661](https://www.microsoft.com/fr-fr/download/details.aspx?id=51072)) | **Important** Divulgation d'informations ([3127233](https://www.microsoft.com/fr-fr/download/details.aspx?id=51039)) | Aucune |
| Windows 7 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 | **Important** Déni de service ([3122648](https://www.microsoft.com/fr-fr/download/details.aspx?id=50970)) | **Important** Divulgation d'informations ([3127220](https://www.microsoft.com/fr-fr/download/details.aspx?id=50865)) | Aucune 3127220 remplace 2656373 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025) |
| Windows 7 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4.5.2[1] | **Important** Déni de service ([3122656](https://www.microsoft.com/fr-fr/download/details.aspx?id=50837)) | **Important** Divulgation d'informations ([3127229](https://www.microsoft.com/fr-fr/download/details.aspx?id=50919)) | Aucune |
| Windows 7 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1 | **Important** Déni de service ([3122661](https://www.microsoft.com/fr-fr/download/details.aspx?id=51072)) | **Important** Divulgation d'informations ([3127233](https://www.microsoft.com/fr-fr/download/details.aspx?id=51039)) | Aucune |
| **Windows Server 2008 R2** | ||||
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 | **Important** Déni de service ([3122648](https://www.microsoft.com/fr-fr/download/details.aspx?id=50970)) | **Important** Divulgation d'informations ([3127220](https://www.microsoft.com/fr-fr/download/details.aspx?id=50865)) | Aucune 3127220 remplace 2656373 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025) |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4.5.2[1] | **Important** Déni de service ([3122656](https://www.microsoft.com/fr-fr/download/details.aspx?id=50837)) | **Important** Divulgation d'informations ([3127229](https://www.microsoft.com/fr-fr/download/details.aspx?id=50919)) | Aucune |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1 | **Important** Déni de service ([3122661](https://www.microsoft.com/fr-fr/download/details.aspx?id=51072)) | **Important** Divulgation d'informations ([3127233](https://www.microsoft.com/fr-fr/download/details.aspx?id=51039)) | Aucune |
| Windows Server 2008 R2 pour systèmes Itanium Service Pack 1 | Microsoft .NET Framework 3.5.1 | **Important** Déni de service ([3122648](https://www.microsoft.com/fr-fr/download/details.aspx?id=50970)) | **Important** Divulgation d'informations ([3127220](https://www.microsoft.com/fr-fr/download/details.aspx?id=50865)) | Aucune 3127220 remplace 2656373 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025) |
| **Windows 8.1** | ||||
| Windows 8.1 pour systèmes 32 bits | Microsoft .NET Framework 3.5 | **Important** Déni de service ([3122651](https://www.microsoft.com/fr-fr/download/details.aspx?id=50833)) | **Important** Divulgation d'informations ([3127222](https://www.microsoft.com/fr-fr/download/details.aspx?id=50863)) | Aucune |
| Windows 8.1 pour systèmes 32 bits | Microsoft .NET Framework 4.5.2[1] | **Important** Déni de service ([3122654](https://www.microsoft.com/fr-fr/download/details.aspx?id=51001)) | **Important** Divulgation d'informations ([3127226](https://www.microsoft.com/fr-fr/download/details.aspx?id=50943)) | Aucune |
| Windows 8.1 pour systèmes 32 bits | Microsoft .NET Framework 4.6/4.6.1[1] | **Important** Déni de service ([3122660](https://www.microsoft.com/fr-fr/download/details.aspx?id=50892)) | **Important** Divulgation d'informations ([3127231](https://www.microsoft.com/fr-fr/download/details.aspx?id=51082)) | Aucune |
| Windows 8.1 pour systèmes x64 | Microsoft .NET Framework 3.5 | **Important** Déni de service ([3122651](https://www.microsoft.com/fr-fr/download/details.aspx?id=50833)) | **Important** Divulgation d'informations ([3127222](https://www.microsoft.com/fr-fr/download/details.aspx?id=50863)) | Aucune |
| Windows 8.1 pour systèmes x64 | Microsoft .NET Framework 4.5.2[1] | **Important** Déni de service ([3122654](https://www.microsoft.com/fr-fr/download/details.aspx?id=51001)) | **Important** Divulgation d'informations ([3127226](https://www.microsoft.com/fr-fr/download/details.aspx?id=50943)) | Aucune |
| Windows 8.1 pour systèmes x64 | Microsoft .NET Framework 4.6/4.6.1[1] | **Important** Déni de service ([3122660](https://www.microsoft.com/fr-fr/download/details.aspx?id=50892)) | **Important** Divulgation d'informations ([3127231](https://www.microsoft.com/fr-fr/download/details.aspx?id=51082)) | Aucune |
| **Windows Server 2012 et Windows Server 2012 R2** | ||||
| Windows Server 2012 | Microsoft .NET Framework 3.5 | **Important** Déni de service ([3122649](https://www.microsoft.com/fr-fr/download/details.aspx?id=50993)) | **Important** Divulgation d'informations ([3127221](https://www.microsoft.com/fr-fr/download/details.aspx?id=50858)) | Aucune |
| Windows Server 2012 | Microsoft .NET Framework 4.5.2[1] | **Important** Déni de service ([3122655](https://www.microsoft.com/fr-fr/download/details.aspx?id=50918)) | **Important** Divulgation d'informations ([3127227](https://www.microsoft.com/fr-fr/download/details.aspx?id=50944)) | Aucune |
| Windows Server 2012 | Microsoft .NET Framework 4.6/4.6.1[1] | **Important** Déni de service ([3122658](https://www.microsoft.com/fr-fr/download/details.aspx?id=50864)) | **Important** Divulgation d'informations ([3127230](https://www.microsoft.com/fr-fr/download/details.aspx?id=51081)) | Aucune |
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 | **Important** Déni de service ([3122651](https://www.microsoft.com/fr-fr/download/details.aspx?id=50833)) | **Important** Divulgation d'informations ([3127222](https://www.microsoft.com/fr-fr/download/details.aspx?id=50863)) | Aucune |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.5.2[1] | **Important** Déni de service ([3122654](https://www.microsoft.com/fr-fr/download/details.aspx?id=51001)) | **Important** Divulgation d'informations ([3127226](https://www.microsoft.com/fr-fr/download/details.aspx?id=50943)) | Aucune |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.6/4.6.1[1] | **Important** Déni de service ([3122660](https://www.microsoft.com/fr-fr/download/details.aspx?id=50892)) | **Important** Divulgation d'informations ([3127231](https://www.microsoft.com/fr-fr/download/details.aspx?id=51082)) | Aucune |
| **Windows RT 8.1** | ||||
| Windows RT 8.1 | Microsoft .NET Framework 4.5.2[1][2] | **Important** Déni de service ([3122654](https://www.microsoft.com/fr-fr/download/details.aspx?id=51001)) | **Important** Divulgation d'informations ([3127226](https://www.microsoft.com/fr-fr/download/details.aspx?id=50943)) | Aucune |
| Windows RT 8.1 | Microsoft .NET Framework 4.6/4.6.1[1][2] | **Important** Déni de service ([3122660](https://www.microsoft.com/fr-fr/download/details.aspx?id=50892)) | **Important** Divulgation d'informations ([3127231](https://www.microsoft.com/fr-fr/download/details.aspx?id=51082)) | Aucune |
| **Windows 10** | ||||
| [Windows 10 pour systèmes 32 bits](https://support.microsoft.com/fr-fr/kb/3135174)[3] (3135174) | Microsoft .NET Framework 3.5 | **Important** Déni de service | **Important** Divulgation d'informations | [3124266](https://support.microsoft.com/fr-fr/kb/3124266) |
| [Windows 10 pour systèmes 32 bits](https://support.microsoft.com/fr-fr/kb/3135174)[3] (3135174) | Microsoft .NET Framework 4.6 | **Important** Déni de service | **Important** Divulgation d'informations | [3124266](https://support.microsoft.com/fr-fr/kb/3124266) |
| [Windows 10 pour systèmes x64](https://support.microsoft.com/fr-fr/kb/3135174)[3] (3135174) | Microsoft .NET Framework 3.5 | **Important** Déni de service | **Important** Divulgation d'informations | [3124266](https://support.microsoft.com/fr-fr/kb/3124266) |
| [Windows 10 pour systèmes x64](https://support.microsoft.com/fr-fr/kb/3135174)[3] (3135174) | Microsoft .NET Framework 4.6 | **Important** Déni de service | **Important** Divulgation d'informations | [3124266](https://support.microsoft.com/fr-fr/kb/3124266) |
| [Windows 10 Version 1511 pour systèmes 32 bits](https://support.microsoft.com/fr-fr/kb/3135173)[2](3135173) | Microsoft .NET Framework 3.5 | **Important** Déni de service | **Important** Divulgation d'informations | [3124263](https://support.microsoft.com/fr-fr/kb/3124263) |
| [Windows 10 Version 1511 pour systèmes 32 bits](https://support.microsoft.com/fr-fr/kb/3135173)[2](3135173) | Microsoft .NET Framework 4.6.1 | **Important** Déni de service | **Important** Divulgation d'informations | [3124263](https://support.microsoft.com/fr-fr/kb/3124263) |
| [Windows 10 Version 1511 pour systèmes x64](https://support.microsoft.com/fr-fr/kb/3135173)[2](3135173) | Microsoft .NET Framework 3.5 | **Important** Déni de service | **Important** Divulgation d'informations | [3124263](https://support.microsoft.com/fr-fr/kb/3124263) |
| [Windows 10 Version 1511 pour systèmes x64](https://support.microsoft.com/fr-fr/kb/3135173)[2](3135173) | Microsoft .NET Framework 4.6.1 | **Important** Déni de service | **Important** Divulgation d'informations | [3124263](https://support.microsoft.com/fr-fr/kb/3124263) |
| **Option d'installation Server Core** | ||||
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) | Microsoft .NET Framework 3.5.1 | **Important** Déni de service ([3122648](https://www.microsoft.com/fr-fr/download/details.aspx?id=50970)) | **Important** Divulgation d'informations ([3127220](https://www.microsoft.com/fr-fr/download/details.aspx?id=50865)) | Aucune 3127220 remplace 2656373 dans le Bulletin [MS12-025](https://technet.microsoft.com/fr-fr/library/security/ms12-025) |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) | Microsoft .NET Framework 4.5.2[1] | **Important** Déni de service ([3122656](https://www.microsoft.com/fr-fr/download/details.aspx?id=50837)) | **Important** Divulgation d'informations ([3127229](https://www.microsoft.com/fr-fr/download/details.aspx?id=50919)) | Aucune |
| Windows Server 2012 (installation Server Core) | Microsoft .NET Framework 3.5 | **Important** Déni de service ([3122649](https://www.microsoft.com/fr-fr/download/details.aspx?id=50993)) | **Important** Divulgation d'informations ([3127221](https://www.microsoft.com/fr-fr/download/details.aspx?id=50858)) | Aucune |
| Windows Server 2012 (installation Server Core) | Microsoft .NET Framework 4.5.2[1] | **Important** Déni de service ([3122655](https://www.microsoft.com/fr-fr/download/details.aspx?id=50918)) | **Important** Divulgation d'informations ([3127227](https://www.microsoft.com/fr-fr/download/details.aspx?id=50944)) | Aucune |
| Windows Server 2012 (installation Server Core) | Microsoft .NET Framework 4.6/4.6.1[1] | **Important** Déni de service ([3122658](https://www.microsoft.com/fr-fr/download/details.aspx?id=50864)) | **Important** Divulgation d'informations ([3127230](https://www.microsoft.com/fr-fr/download/details.aspx?id=51081)) | Aucune |
| Windows Server 2012 R2 (installation Server Core) | Microsoft .NET Framework 3.5 | **Important** Déni de service ([3122651](https://www.microsoft.com/fr-fr/download/details.aspx?id=50833)) | **Important** Divulgation d'informations ([3127222](https://www.microsoft.com/fr-fr/download/details.aspx?id=50863)) | Aucune |
| Windows Server 2012 R2 (installation Server Core) | Microsoft .NET Framework 4.5.2[1] | **Important** Déni de service ([3122654](https://www.microsoft.com/fr-fr/download/details.aspx?id=51001)) | **Important** Divulgation d'informations ([3127226](https://www.microsoft.com/fr-fr/download/details.aspx?id=50943)) | Aucune |
| Windows Server 2012 R2 (installation Server Core) | Microsoft .NET Framework 4.6/4.6.1[1] | **Important** Déni de service ([3122660](https://www.microsoft.com/fr-fr/download/details.aspx?id=50892)) | **Important** Divulgation d'informations ([3127231](https://www.microsoft.com/fr-fr/download/details.aspx?id=51082)) | Aucune |
[1]Pour plus d'informations sur les modifications du support pour .NET Framework 4.x, consultez les Annonces du support pour Internet Explorer et .NET Framework 4.x.
[2]Les mises à jour de Windows RT 8.1 sont disponibles via Windows Update uniquement.
[3]Les mises à jour de Windows 10 sont cumulatives. Outre des mises à jour non liées à la sécurité, elles contiennent également l'ensemble des correctifs de sécurité pour toutes les vulnérabilités concernant Windows 10 fournis dans la mise à jour de sécurité mensuelle. Les mises à jour sont disponibles via le Catalogue Microsoft Update.
Remarque Windows Server Technical Preview 4 est concerné. Les clients exécutant ce système d'exploitation sont invités à appliquer la mise à jour, qui est disponible via Windows Update.
Informations par vulnérabilité
Vulnérabilité de déni de service liée au dépassement de la capacité de la pile dans .NET Framework - CVE-2016-0033
Une vulnérabilité de déni de service se produit lorsque .NET ne parvient pas à traiter correctement certaines transformations XSLT. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait provoquer une altération des performances du serveur suffisamment importante pour générer une condition de refus de service.
Pour exploiter la vulnérabilité, un attaquant pourrait insérer du langage XSLT spécialement conçu dans un composant WebPart XML côté client. En conséquence, le serveur compilerait des transformations XSLT de manière récursive. Cela pourrait provoquer une attaque par déni de service et interrompre la disponibilité du serveur. La mise à jour de sécurité corrige la vulnérabilité en modifiant la manière dont .NET Framework traite le langage XSLT.
Le tableau suivant contient des liens vers l'entrée standard correspondant à chaque vulnérabilité dans la liste Common Vulnerabilities and Exposures (CVE) :
| Titre de la vulnérabilité | Numéro CVE | Révélée publiquement | Exploitée |
| Vulnérabilité de déni de service liée au dépassement de la capacité de la pile dans .NET Framework | CVE-2016-0033 | Non | Non |
Facteurs atténuants
Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.
Solutions de contournement
Les solutions de contournement suivantes peuvent être utiles, selon votre situation :
Ne chargez pas de feuilles de style XSL à partir de sources non fiables
Des applications de codage peuvent empêcher l'exploitation de la vulnérabilité en interdisant le chargement de feuilles de style XSL externes à partir de sources non fiables.
Vulnérabilité de divulgation d'informations dans Windows Forms - CVE-2016-0047
Une vulnérabilité de divulgation d'informations existe dans Microsoft .NET Framework lorsque les bibliothèques Windows Forms (WinForms) de .NET traitent de façon incorrecte des données d'icône. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait envoyer des données d'icône spécialement conçues à un service .NET. Les données d'icône peuvent capturer des informations, qui sont ensuite retournées à l'attaquant dans les données de l'icône.
Pour exploiter cette vulnérabilité, un attaquant pourrait télécharger une icône spécialement conçue sur un service distant pour tenter de récupérer des informations du serveur. La mise à jour corrige cette vulnérabilité en modifiant la manière dont Microsoft WinForms gère les données d'icône.
Le tableau suivant contient des liens vers l'entrée standard correspondant à chaque vulnérabilité dans la liste Common Vulnerabilities and Exposures (CVE) :
| Titre de la vulnérabilité | Numéro CVE | Révélée publiquement | Exploitée |
| Vulnérabilité de divulgation d'informations dans Windows Forms | CVE-2016-0047 | Non | Non |
Facteurs atténuants
Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.
Solutions de contournement
Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité.
Déploiement des mises à jour de sécurité
Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.
Remerciements
Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations.
Dédit de responsabilité
Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.
Révisions
- V1.0 (9 février 2016) : Bulletin publié.
Page générée le 09/02/2016 20:52-08:00.