S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 avril 2011
N° CERTA-2011-AVI-211
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Microsoft .NET Framework

Gestion du document

Référence CERTA-2011-AVI-211
Titre Vulnérabilité dans Microsoft .NET Framework
Date de la première version13 avril 2011
Date de la dernière version13 avril 2011
Source(s) Bulletin de sécurité Microsoft MS11-028 du 12 avril 2011

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Microsoft .NET Framework 2.0 SP 2 et Microsoft .NET Framework 3.5 SP 1 sur Windows Server 2003 SP 2 ;
  • Microsoft .NET Framework 2.0 SP 2 et Microsoft .NET Framework 3.5 SP 1 sur Windows Server 2003 SP2 pour systèmes Itanium ;
  • Microsoft .NET Framework 2.0 SP 2 et Microsoft .NET Framework 3.5 SP 1 sur Windows Server 2003 Édition x64 SP 2 ;
  • Microsoft .NET Framework 2.0 SP 2 et Microsoft .NET Framework 3.5 SP 1 sur Windows Server 2008 pour systèmes 32 bits et Windows Server 2008 pour systèmes 32 bits SP 2 ;
  • Microsoft .NET Framework 2.0 SP 2 et Microsoft .NET Framework 3.5 SP 1 sur Windows Server 2008 pour systèmes Itanium et Windows Server 2008 pour systèmes Itanium SP 2 ;
  • Microsoft .NET Framework 2.0 SP 2 et Microsoft .NET Framework 3.5 SP 1 sur Windows Server 2008 pour systèmes x64 et Windows Server 2008 pour systèmes x64 SP 2 ;
  • Microsoft .NET Framework 2.0 SP 2 et Microsoft .NET Framework 3.5 SP 1 sur Windows Vista SP 1 et Windows Vista SP 2 ;
  • Microsoft .NET Framework 2.0 SP 2 et Microsoft .NET Framework 3.5 SP 1 sur Windows Vista Édition x64 SP 1 et Windows Vista Édition x64 SP 2 ;
  • Microsoft .NET Framework 2.0 SP 2 et Microsoft .NET Framework 3.5 SP 1 sur Windows XP Pro x64 SP 2 ;
  • Microsoft .NET Framework 2.0 SP 2 et Microsoft .NET Framework 3.5 SP 1 sur Windows XP SP 3 ;
  • Microsoft .NET Framework 3.5.1 sur Windows 7 pour systèmes 32 bits et Windows 7 pour systèmes 32 bits SP 1 ;
  • Microsoft .NET Framework 3.5.1 sur Windows 7 pour systèmes x64 et Windows 7 pour systèmes x64 SP 1 ;
  • Microsoft .NET Framework 3.5.1 sur Windows Server 2008 R2 pour systèmes Itanium et Windows Server 2008 R2 pour systèmes Itanium SP 1;
  • Microsoft .NET Framework 3.5.1 sur Windows Server 2008 R2 pour systèmes x64 et Windows Server 2008 R2 pour systèmes x64 SP 1 ;
  • Microsoft .NET Framework 4.0 sur Windows 7 pour systèmes 32 bits et Windows 7 pour systèmes 32 bits SP 1
  • Microsoft .NET Framework 4.0 sur Windows 7 pour systèmes x64 et Windows 7 pour systèmes x64 ;
  • Microsoft .NET Framework 4.0 sur Windows Server 2003 avec SP2 pour systèmes Itanium ;
  • Microsoft .NET Framework 4.0 sur Windows Server 2003 SP 2 ;
  • Microsoft .NET Framework 4.0 sur Windows Server 2003 Édition x64 SP 2 ;
  • Microsoft .NET Framework 4.0 sur Windows Server 2008 pour systèmes 32 bits et Windows Server 2008 pour systèmes 32 bits SP 2 ;
  • Microsoft .NET Framework 4.0 sur Windows Server 2008 pour systèmes Itanium et Windows Server 2008 pour systèmes Itanium SP 2 ;
  • Microsoft .NET Framework 4.0 sur Windows Server 2008 pour systèmes x64 et Windows Server 2008 pour systèmes x64 SP 2 ;
  • Microsoft .NET Framework 4.0 sur Windows Server 2008 R2 pour systèmes Itanium et Windows Server 2008 R2 pour systèmes Itanium SP 1.
  • Microsoft .NET Framework 4.0 sur Windows Server 2008 R2 pour systèmes x64 et Windows Server 2008 R2 pour systèmes x64 SP 1 ;
  • Microsoft .NET Framework 4.0 sur Windows Vista SP 1 et Windows Vista SP 2 ;
  • Microsoft .NET Framework 4.0 sur Windows Vista Édition x64 SP 1 et Windows Vista Édition x64 SP 2 ;
  • Microsoft .NET Framework 4.0 sur Windows XP Pro x64 SP 2 ;
  • Microsoft .NET Framework 4.0 sur Windows XP SP 3 ;

Résumé

Une vulnérabilité dans Microsoft .NET Framework peut être utilisée par une personne malveillante pour exécuter du code arbitraire.

Description

Une vulnérabilité a été corrigée dans la façon dont Microsoft .NET Framework traite certains appels de fonction. Cette vulnérabilité, de type corruption de mémoire, peut être utilisée par une personne malveillante distante pour provoquer de l'exécution de code arbitraire. Elle peut être exploitée sur un système client en dirigeant un utilisateur vers une page spécialement conçue. Elle peut également être exploitée sur un serveur IIS, supportant les pages ASP.NET, si un attaquant parvient à y déposer une page ASP.NET spécialement conçue.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 avril 2011
    version initiale.