CH azonosító
CH-11723Angol cím
Microsoft .NET correctionFelfedezés dátuma
2014.10.14.Súlyosság
MagasÉrintett rendszerek
MicrosoftÉrintett verziók
Microsoft .NET Framework 2.x
Microsoft .NET Framework 3.x
Microsoft .NET Framework 4.x
Microsoft ASP.NET MVC 2.0
Microsoft ASP.NET MVC 3.0
Microsoft ASP.NET MVC 4.0
Microsoft ASP.NET MVC 5.0
Összefoglaló
A Microsoft a .Net keretrendszer kapcsán két közleményt adott ki, amelyek közül az egyik kritikus, a másik súlyos veszélyességi kategóriába tartozik.
Leírás
A Microsoft a .Net keretrendszer kapcsán két közleményt adott ki, amelyek közül az egyik kritikus, a másik súlyos veszélyességi kategóriába került. Az előbbi a .Net Framework három sebezhetőségét taglalja. E hibák érintik egyebek mellett az iriParsing funkcionalitást, valamint a ClickOnce-t is, amelynek esetében egy jogosultsági szint emelésre lehetőséget adó hibáról van szó. Ezek mellett a harmadik sebezhetőség az ASLR védelmi vonal megkerülésére adhat módot.
A fontos besorolású tájékoztató pedig az ASP.NET MVC egy újonnan feltárt rendellenességére hívja fel a figyelmet. Ez speciálisan szerkesztett weboldalakkal, pontosabban speciálisan összeállított linkekkel válhat kihasználhatóvá, miközben biztonsági megkötések megkerülését segítheti elő. Az említett sebezhetőségek miatt a .Net keretrendszer 2.0-ás, az ASP.NET MVC 2.0-ás, illetve az ezeknél újabb kiadásokat kell frissíteni.
Megoldás
Telepítse a javítócsomagokatMegoldás
A Microsoft MS14-057-es és MS14-059-es biztonsági közleményéhez tartozó hibajavítások telepítése.
Támadás típusa
Cross Site Scripting (XSS/CSS)Hijacking (Visszaélés)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: technet.microsoft.com
CVE-2014-4073 - NVD CVE-2014-4073
CVE-2014-4075 - NVD CVE-2014-4075
CVE-2014-4121 - NVD CVE-2014-4121
CVE-2014-4122 - NVD CVE-2014-4122
