Microsoft .Net Framework / Silverlight többszörös sérülékenység


2013. július 10. 14:18

CH azonosító

CH-9508

Angol cím

Microsoft .Net Framework / Silverlight Multiple Vulnerabilities

Felfedezés dátuma

2013.07.08.

Súlyosság

Magas

Érintett rendszerek

.NET Framework
Microsoft
Silverlight

Érintett verziók

Microsoft .NET Framework 1.x
Microsoft .NET Framework 2.x
Microsoft .NET Framework 3.x
Microsoft .NET Framework 4.x
Microsoft Silverlight 5.x

Összefoglaló

A Microsoft .Net Framework és a Silverlight több sebezhetőségét is jelentették, amelyeket kihasználva a támadók feltörhetik a felhasználó rendszerét.

Leírás

A Microsoft .Net Framework és a Silverlight több sebezhetőségét is jelentették, amelyeket kihasználva a támadók feltörhetik a felhasználó rendszerét.

1) Egy hibát találtak a GDI+ alrendszerben.

További információ:
SA54057 (lásd a hivatkozásoknál)

2.) Egy a kis szerkezetű többdimenziós tömbök kezelésekor fellépő hiba kihasználható a tömb határain túl eső területre való írásra.

3) Bizonyos küldöttek reflektálásakor végrehajtott engedélyvizsgálatkor hiba keletkezhet, amely kihasználható a CAS (Code Access Security) korlátozások  megkerülésére egy speciálisan erre a célra elkészített XAML böngésző  alkalmazás használatával, vagy egy nem megbízható .NET alkalmazással.

4) Bizonyos objektumok reflektálásakor végrehajtott engedélyvizsgálatkor hiba keletkezhet, amely kihasználható a CAS (Code Access Security) korlátozások megkerülésére egy speciálisan erre a célra elkészített XAML böngésző alkalmazás használatával, vagy egy nem megbízható .NET alkalmazással.

5) Egy tömb lefoglalásakor fellépő hiba kihasználható bizonyos adatok módosítására és tetszőleges kód futtatására.

6) Bizonyos küldöttek sorszámozásakor végrehajtott engedélyvizsgálatkor hiba keletkezhet, amely kihasználható a CAS (Code Access Security) korlátozások megkerülésére egy speciálisan erre a célra elkészített XAML böngésző alkalmazás használatával, vagy egy nem megbízható .NET alkalmazással.

7) Memóriabeli tömbök inicializálásakor felléphet egy NULLmutató hivatkozás feloldási hiba, amely kihasználható tetszőleges kód futtatására.

A sérülékenységek sikeres kihasználása lehetővé teszi tetszőleges kód futtatását.


Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

System access (Rendszer hozzáférés)

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

CVE-2013-3129 - NVD CVE-2013-3129
CVE-2013-3131 - NVD CVE-2013-3131
CVE-2013-3132 - NVD CVE-2013-3132
CVE-2013-3133 - NVD CVE-2013-3133
CVE-2013-3134 - NVD CVE-2013-3134
CVE-2013-3171 - NVD CVE-2013-3171
CVE-2013-3178 - NVD CVE-2013-3178

Egyéb referencia: secunia.com

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »