Microsoft publie un correctif en urgence pour son framework .NET
Merry Christmas
Microsoft a publié un correctif destiné à combler plusieurs failles dans son framework .NET. Sur les quatre brèches dont il est question, trois ont été gérées de manière confidentielle, mais la dernière est publique. Les détails de l’exploitation exposés aux quatre vents, l’éditeur a choisi de ne pas attendre le prochain mardi du cycle habituel.
La faille la plus sévère pourrait permettre une élévation de privilèges si elle était exploitée. Pour ce faire, un attaquant a besoin d’une requête web spécialement conçue vers un site. En cas d’exploitation réussie, l’attaquant peut effectuer les actions qu’il souhaite dans le contexte d’un compte existant sur le site ASP.NET. Cependant, il doit pouvoir enregistrer un compte sur ce site et doit impérativement déjà connaître au moins un nom d’utilisateur existant.
La mise à jour est dans tous les cas jugée critique. Elle concerne toutes les versions du framework .NET en cours de support sur les Windows eux-mêmes supportés :
Les utilisateurs concernés sont nombreux. Beaucoup ont probablement déjà le correctif en attente dans Windows Update.
La faille la plus sévère pourrait permettre une élévation de privilèges si elle était exploitée. Pour ce faire, un attaquant a besoin d’une requête web spécialement conçue vers un site. En cas d’exploitation réussie, l’attaquant peut effectuer les actions qu’il souhaite dans le contexte d’un compte existant sur le site ASP.NET. Cependant, il doit pouvoir enregistrer un compte sur ce site et doit impérativement déjà connaître au moins un nom d’utilisateur existant.
La mise à jour est dans tous les cas jugée critique. Elle concerne toutes les versions du framework .NET en cours de support sur les Windows eux-mêmes supportés :
- .NET Framework 1.1 avec Service Pack 1
- .NET Framework 2.0 avec Service Pack 2
- .NET Framework 3.5 avec Service Pack 1
- .NET Framework 3.5.1
- .NET Framework 4
Les utilisateurs concernés sont nombreux. Beaucoup ont probablement déjà le correctif en attente dans Windows Update.
Source :
Microsoft
Vincent Hermann
le 30 décembre 2011 à 17:41
(13 032
lectures)
Actualités et brèves relatives
- 14 / 12 / 2011 : Microsoft : les bulletins de sécurité de décembre 2011
- 12 / 12 / 2011 : Silverlight 5 en version finale, entre nouveautés et rumeurs d'arrêt
- 28 / 11 / 2011 : Microsoft : de nombreuses nouveautés pour le Windows Phone Connector
- 17 / 11 / 2011 : Microsoft corrige plusieurs problèmes pour Windows Phone 7
- 15 / 11 / 2011 : Windows 8 : Microsoft promet un Windows Update moins intrusif
- 26 / 10 / 2011 : Un troisième et dernier Service Pack pour Office 2007
- 05 / 08 / 2011 : Microsoft fait le point sur la compatibilité d'Office avec OS X Lion
- 08 / 07 / 2011 : Une mise à jour globale pour Windows Live Essentials 2011
