Microsoft .Net Framework / Silverlight többszörös sérülékenység


2013. július 10. 14:18

CH azonosító

CH-9508

Angol cím

Microsoft .Net Framework / Silverlight Multiple Vulnerabilities

Felfedezés dátuma

2013.07.08.

Súlyosság

Magas

Érintett rendszerek

.NET Framework
Microsoft
Silverlight

Érintett verziók

Microsoft .NET Framework 1.x
Microsoft .NET Framework 2.x
Microsoft .NET Framework 3.x
Microsoft .NET Framework 4.x
Microsoft Silverlight 5.x

Összefoglaló

A Microsoft .Net Framework és a Silverlight több sebezhetőségét is jelentették, amelyeket kihasználva a támadók feltörhetik a felhasználó rendszerét.

Leírás

A Microsoft .Net Framework és a Silverlight több sebezhetőségét is jelentették, amelyeket kihasználva a támadók feltörhetik a felhasználó rendszerét.

1) Egy hibát találtak a GDI+ alrendszerben.

További információ:
SA54057 (lásd a hivatkozásoknál)

2.) Egy a kis szerkezetű többdimenziós tömbök kezelésekor fellépő hiba kihasználható a tömb határain túl eső területre való írásra.

3) Bizonyos küldöttek reflektálásakor végrehajtott engedélyvizsgálatkor hiba keletkezhet, amely kihasználható a CAS (Code Access Security) korlátozások  megkerülésére egy speciálisan erre a célra elkészített XAML böngésző  alkalmazás használatával, vagy egy nem megbízható .NET alkalmazással.

4) Bizonyos objektumok reflektálásakor végrehajtott engedélyvizsgálatkor hiba keletkezhet, amely kihasználható a CAS (Code Access Security) korlátozások megkerülésére egy speciálisan erre a célra elkészített XAML böngésző alkalmazás használatával, vagy egy nem megbízható .NET alkalmazással.

5) Egy tömb lefoglalásakor fellépő hiba kihasználható bizonyos adatok módosítására és tetszőleges kód futtatására.

6) Bizonyos küldöttek sorszámozásakor végrehajtott engedélyvizsgálatkor hiba keletkezhet, amely kihasználható a CAS (Code Access Security) korlátozások megkerülésére egy speciálisan erre a célra elkészített XAML böngésző alkalmazás használatával, vagy egy nem megbízható .NET alkalmazással.

7) Memóriabeli tömbök inicializálásakor felléphet egy NULLmutató hivatkozás feloldási hiba, amely kihasználható tetszőleges kód futtatására.

A sérülékenységek sikeres kihasználása lehetővé teszi tetszőleges kód futtatását.


Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

System access (Rendszer hozzáférés)

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

CVE-2013-3129 - NVD CVE-2013-3129
CVE-2013-3131 - NVD CVE-2013-3131
CVE-2013-3132 - NVD CVE-2013-3132
CVE-2013-3133 - NVD CVE-2013-3133
CVE-2013-3134 - NVD CVE-2013-3134
CVE-2013-3171 - NVD CVE-2013-3171
CVE-2013-3178 - NVD CVE-2013-3178

Egyéb referencia: secunia.com