Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- Microsoft .NET Framework 1.0 ;
- Microsoft .NET Framework 1.1 ;
- Microsoft .NET Framework 2.0.
Microsoft .NET Framework 3.0 ne serait pas affecté par ces vulnérabilités.
Description
Trois vulnérabilités ont été identifiées dans le composant logiciel Microsoft .NET Framework. Ce dernier est souvent installé pour permettre le développement ou l'exécution d'applications tiers.
Le service PE Loader ne vérifierait pas correctement un tampon. Cette vulnérabilité peut être exploitée par un utilisateur local ou distant, afin d'élever ses privilèges et exécuter du code arbitraire sur le système vulnérable.
Les outils d'ASP.NET ne valideraient pas proprement les adresses réticulaires (URL) fournies en entrée. Une personne malveillante pourrait dans certaines conditions exploiter cette vulnérabilité pour obtenir un accès illégitime sur un site Web utilisant ces outils.
Le service Just In Time (JIT) Compiler ne vérifierait pas correctement un tampon. Une personne malveillante pourrait exploiter cette vulnérabilité en construisant une page Web particulière et en incitant l'utilisateur à la visiter (par un lien dans un courrier électronique par exemple).
Solution
Se référer au bulletin de sécurité MS07-040 de Microsoft pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS07-040 du 11 juillet 2007 :
http://www.microsoft.com/france/technet/security/Bulletin/MS07-040.mspx
http://www.microsoft.com/technet/security/Bulletin/MS07-040.mspx
- Référence CVE CVE-2007-0041 :
https://www.cve.org/CVERecord?id=CVE-2007-0041
- Référence CVE CVE-2007-0042 :
https://www.cve.org/CVERecord?id=CVE-2007-0042
- Référence CVE CVE-2007-0043 :
https://www.cve.org/CVERecord?id=CVE-2007-0043
