Modèle ppDocument MSRC

Bulletin de sécurité Microsoft MS14-072 - Important

Une vulnérabilité dans .NET Framework pourrait permettre une élévation de privilèges (3005210)

Date de publication : 11 novembre 2014

Version : 1.0

Synthèse

Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft .NET Framework. Cette vulnérabilité pourrait permettre une élévation de privilèges si un attaquant non authentifié envoyait des données spécialement conçues à une station de travail ou un serveur affecté qui utilise .NET Remoting. Seules des applications personnalisées qui ont été spécialement conçues pour utiliser .NET Remoting peuvent exposer un système à cette vulnérabilité.

Cette mise à jour de sécurité est de niveau « important » pour Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, Microsoft .NET Framework 4.5 et Microsoft .NET Framework 4.5.1 et Microsoft .NET Framework 4.5.2 sur les éditions concernées de Microsoft Windows. Pour plus d'informations, consultez la section « Logiciels concernés ».

La mise à jour de sécurité corrige la vulnérabilité en appliquant des contrôles de sécurité pour la mémoire de l'application correctement. Pour obtenir plus d'informations sur cette vulnérabilité, consultez la sous-section « Forum aux questions » spécifique à chaque vulnérabilité.

Pour plus d'informations sur cette mise à jour, consultez l'Article 3005210 de la Base de connaissances Microsoft.

Logiciels concernés

Les versions ou éditions répertoriées ci-dessous sont concernées. Les versions ou éditions non répertoriées ont atteint la fin de leurs cycles de vie ou ne sont pas concernées. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Système d'exploitation Composant Impact de sécurité maximal Indice de gravité cumulée Mises à jour remplacées
Windows Server 2003
Windows Server 2003 Service Pack 2 Microsoft .NET Framework 1.1 Service Pack 1
(2978114)
Élévation de privilèges Important 2931352 dans MS14-026
Windows Server 2003 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2
(2978124)
Élévation de privilèges Important 2932079 dans MS14-026
Windows Server 2003 Service Pack 2 Microsoft .NET Framework 4[1] (2978125) Élévation de privilèges Important 2931365 dans MS14-026
Windows Server 2003 Service Pack 2 Édition x64 Microsoft .NET Framework 2.0 Service Pack 2
(2978124)
Élévation de privilèges Important 2932079 dans MS14-026
Windows Server 2003 Service Pack 2 Édition x64 Microsoft .NET Framework 4[1] (2978125) Élévation de privilèges Important 2931365 dans MS14-026
Windows Server 2003 SP2 pour systèmes Itanium Microsoft .NET Framework 2.0 Service Pack 2
(2978124)
Élévation de privilèges Important 2932079 dans MS14-026
Windows Server 2003 SP2 pour systèmes Itanium Microsoft .NET Framework 4[1] (2978125) Élévation de privilèges Important 2931365 dans MS14-026
Windows Vista
Windows Vista Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2
(2978116)
Élévation de privilèges Important Aucun
Windows Vista Service Pack 2 Microsoft .NET Framework 4[1] (2978125) Élévation de privilèges Important 2931365 dans MS14-026
Windows Vista Service Pack 2 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(2978128)
Élévation de privilèges Important 2931368 dans MS14-026
Windows Vista Édition x64 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2
(2978116)
Élévation de privilèges Important Aucun
Windows Vista Édition x64 Service Pack 2 Microsoft .NET Framework 4[1] (2978125) Élévation de privilèges Important 2931365 dans MS14-026
Windows Vista Édition x64 Service Pack 2 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(2978128)
Élévation de privilèges Important 2931368 dans MS14-026
Windows Server 2008
Windows Server 2008 pour systèmes 32 bits Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2
(2978116)
Élévation de privilèges Important Aucun
Windows Server 2008 pour systèmes 32 bits Service Pack 2 Microsoft .NET Framework 4[1] (2978125) Élévation de privilèges Important 2931365 dans MS14-026
Windows Server 2008 pour systèmes 32 bits Service Pack 2 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(2978128)
Élévation de privilèges Important 2931368 dans MS14-026
Windows Server 2008 pour systèmes x64 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2
(2978116)
Élévation de privilèges Important Aucun
Windows Server 2008 pour systèmes x64 Service Pack 2 Microsoft .NET Framework 4[1] (2978125) Élévation de privilèges Important 2931365 dans MS14-026
Windows Server 2008 pour systèmes x64 Service Pack 2 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(2978128)
Élévation de privilèges Important 2931368 dans MS14-026
Windows Server 2008 pour systèmes Itanium Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2
(2978116)
Élévation de privilèges Important Aucun
Windows Server 2008 pour systèmes Itanium Service Pack 2 Microsoft .NET Framework 4[1] (2978125) Élévation de privilèges Important 2931365 dans MS14-026
Windows 7
Windows 7 pour systèmes 32 bits Service Pack 1 Microsoft .NET Framework 3.5.1
(2978120)
Élévation de privilèges Important Aucun
Windows 7 pour systèmes 32 bits Service Pack 1 Microsoft .NET Framework 4[1] (2978125) Élévation de privilèges Important 2931365 dans MS14-026
Windows 7 pour systèmes 32 bits Service Pack 1 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(2978128)
Élévation de privilèges Important 2931368 dans MS14-026
Windows 7 pour systèmes x64 Service Pack 1 Microsoft .NET Framework 3.5.1
(2978120)
Élévation de privilèges Important Aucun
Windows 7 pour systèmes x64 Service Pack 1 Microsoft .NET Framework 4[1] (2978125) Élévation de privilèges Important 2931365 dans MS14-026
Windows 7 pour systèmes x64 Service Pack 1 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(2978128)
Élévation de privilèges Important 2931368 dans MS14-026
Windows Server 2008 R2
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 Microsoft .NET Framework 3.5.1
(2978120)
Élévation de privilèges Important Aucun
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 Microsoft .NET Framework 4[1] (2978125) Élévation de privilèges Important 2931365 dans MS14-026
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(2978128)
Élévation de privilèges Important 2931368 dans MS14-026
Windows Server 2008 R2 pour systèmes Itanium Service Pack 1 Microsoft .NET Framework 3.5.1
(2978120)
Élévation de privilèges Important Aucun
Windows Server 2008 R2 pour systèmes Itanium Service Pack 1 Microsoft .NET Framework 4[1] (2978125) Élévation de privilèges Important 2931365 dans MS14-026
Windows 8 et Windows 8.1
Windows 8 pour systèmes 32 bits Microsoft .NET Framework 3.5
(2978121)
Élévation de privilèges Important 2931357 dans MS14-026
Windows 8 pour systèmes 32 bits Microsoft .NET Framework 4.5/4.5.1/4.5.2
(2978127)
Élévation de privilèges Important 2931367 dans MS14-026
Windows 8 pour systèmes x64 Microsoft .NET Framework 3.5
(2978121)
Élévation de privilèges Important 2931357 dans MS14-026
Windows 8 pour systèmes x64 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(2978127)
Élévation de privilèges Important 2931367 dans MS14-026
Windows 8.1 pour systèmes 32 bits Microsoft .NET Framework 3.5
(2978122)
Élévation de privilèges Important 2931358 dans MS14-026
Windows 8.1 pour systèmes 32 bits Microsoft .NET Framework 4.5.1/4.5.2
(2978126)
Élévation de privilèges Important 2931366 dans MS14-026
Windows 8.1 pour systèmes x64 Microsoft .NET Framework 3.5
(2978122)
Élévation de privilèges Important 2931358 dans MS14-026
Windows 8.1 pour systèmes x64 Microsoft .NET Framework 4.5.1/4.5.2
(2978126)
Élévation de privilèges Important 2931366 dans MS14-026
Windows Server 2012 et Windows Server 2012 R2
Windows Server 2012 Microsoft .NET Framework 3.5
(2978121)
Élévation de privilèges Important 2931357 dans MS14-026
Windows Server 2012 Microsoft .NET Framework 4.5/4.5.1/4.5.2
(2978127)
Élévation de privilèges Important 2931367 dans MS14-026
Windows Server 2012 R2 Microsoft .NET Framework 3.5
(2978122)
Élévation de privilèges Important 2931358 dans MS14-026
Windows Server 2012 R2 Microsoft .NET Framework 4.5.1/4.5.2
(2978126)
Élévation de privilèges Important 2931366 dans MS14-026
Windows RT et Windows RT 8.1
Windows RT Microsoft .NET Framework 4.5/4.5.1/4.5.2[2] (2978127) Élévation de privilèges Important 2931367 dans MS14-026
Windows RT 8.1 Microsoft .NET Framework 4.5.1/4.5.2[2] (2978126) Élévation de privilèges Important 2931366 dans MS14-026
Option d'installation Server Core
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) Microsoft .NET Framework 3.5.1
(2978120)
Élévation de privilèges Important Aucun
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) Microsoft .NET Framework 4[1] (2978125) Élévation de privilèges Important 2931365 dans MS14-026
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) Microsoft .NET Framework 4.5/4.5.1/4.5.2
(2978128)
Élévation de privilèges Important 2931368 dans MS14-026
Windows Server 2012 (installation Server Core) Microsoft .NET Framework 3.5
(2978121)
Élévation de privilèges Important 2931357 dans MS14-026
Windows Server 2012 (installation Server Core) Microsoft .NET Framework 4.5/4.5.1/4.5.2
(2978127)
Élévation de privilèges Important 2931367 dans MS14-026
Windows Server 2012 R2 (installation Server Core) Microsoft .NET Framework 3.5
(2978122)
Élévation de privilèges Important 2931358 dans MS14-026
Windows Server 2012 R2 (installation Server Core) Microsoft .NET Framework 4.5.1/4.5.2
(2978126)
Élévation de privilèges Important 2931366 dans MS14-026

[1].NET Framework 4 et .NET Framework 4 Client Profile sont affectés.

[2]Cette mise à jour est disponible via Windows Update uniquement.

Forum aux questions concernant les mises à jour

Comment puis-je savoir quelle version exacte de Microsoft .NET Framework est installée ?
Vous pouvez installer et exécuter plusieurs versions de .NET Framework sur un système et installer ces versions dans n'importe quel ordre. Pour plus d'informations, voir l'article 318785 de la Base de connaissances Microsoft.

Quelle est la différence entre .NET Framework 4 et .NET Framework 4 Client Profile ?
Les packages .NET Framework version 4 redistribuables sont disponibles en deux profils : .NET Framework 4 et .NET Framework 4 Client Profile. .NET Framework 4 Client Profile est un sous-ensemble du profil .NET Framework 4 optimisé pour les applications clientes. Il fournit des fonctionnalités pour la plupart des applications clientes, notamment Windows Presentation Foundation (WPF), Windows Forms, Windows Communication Foundation (WCF), et les fonctionnalités ClickOnce. Les applications qui ciblent .NET Framework 4 Client Profile bénéficient d'un déploiement plus rapide et de packages d'installation de plus petite taille. Pour plus d'informations, consultez l'article MSDN intitulé .NET Framework Client Profile.

Quels sont les meilleures pratiques en matière de communication entre les points de terminaison de service .NET ?
Utilisez Windows Communication Foundation (WCF) pour envoyer des données sous forme de messages asynchrones d'un point de terminaison de service à un autre. WCF comprend des améliorations significatives en matière de fonctionnalités, de performances et de sécurité et nous recommandons fortement à nos clients d'utiliser l'infrastructure WCF lors de la création d'applications de service. Nous recommandons également de mettre à jour les applications existantes gérées par .NET avec d'anciennes technologies IPC, telles que DCOM ou Remoting, afin qu'elles utilisent WCF.

Pour obtenir des conseils supplémentaires sur WCF, veuillez consulter les ressources suivantes :

Plusieurs packages de mise à jour sont disponibles pour certains des logiciels concernés. Dois-je installer toutes les mises à jour répertoriées dans le tableau « Logiciels concernés » pour le logiciel ?
Oui. Les clients doivent appliquer toutes les mises à jour proposées pour les logiciels installés sur leurs systèmes.

Dois-je installer ces mises à jour de sécurité dans un ordre particulier ?
Non. Lorsqu'il existe plusieurs mises à jour pour un système donné, elles peuvent être appliquées dans n'importe quel ordre.

Indices de gravité et identificateurs de vulnérabilité

Les indices de gravité suivants considèrent l'impact potentiel maximal de la vulnérabilité. Pour plus d'informations sur les risques dans les 30 jours suivant la publication d'un Bulletin concernant l'exploitabilité de la vulnérabilité par rapport à son indice de gravité et à son impact, consultez l'Indice d'exploitabilité dans la synthèse des Bulletins de sécurité de novembre.

Indice de gravité par vulnérabilité et Impact de sécurité maximal par logiciel concerné
Logiciels concernés Vulnérabilité liée à TypeFilterLevel - CVE-2014-4149 Indice de gravité cumulée
Microsoft .NET Framework 1.1 Service Pack 1
Microsoft .NET Framework 1.1 Service Pack 1 sur Microsoft Windows Server 2003 Service Pack 2
(2978114)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 installé sur Microsoft Windows Server 2003 Service Pack 2
(2978124)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 2.0 Service Pack 2 installé sur Microsoft Windows Server 2003 Édition x64 Service Pack 2
(2978124)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 2.0 Service Pack 2 installé sur Microsoft Windows Server 2003 pour systèmes Itanium Service Pack 2
(2978124)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Vista Service Pack 2
(2978116)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Vista Édition x64 Service Pack 2
(2978116)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Server 2008 pour systèmes 32 bits Service Pack 2
(2978116)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Server 2008 pour systèmes x64 Service Pack 2
(2978116)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Server 2008 pour systèmes Itanium Service Pack 2
(2978116)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 sur Windows 8 pour systèmes 32 bits
(2978121)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 3.5 sur Windows 8 pour systèmes x64
(2978121)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 3.5 sur Windows Server 2012
(2978121)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 3.5 sur Windows Server 2012 (installation Server Core)
(2978121)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 3.5 sur Windows 8.1 pour systèmes 32 bits
(2978122)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 3.5 sur Windows 8.1 pour systèmes x64
(2978122)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 3.5 sur Windows Server 2012 R2
(2978122)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 3.5 sur Windows Server 2012 R2 (installation Server Core)
(2978122)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 3.5.1 sur Windows 7 pour systèmes 32 bits Service Pack 1
(2978120)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 3.5.1 sur Windows 7 pour systèmes x64 Service Pack 1
(2978120)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 3.5.1 sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(2978120)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 3.5.1 sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
(2978120)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 3.5.1 sur Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
(2978120)
Élévation de privilèges Important
Microsoft .NET Framework 4
Microsoft .NET Framework 4 sur Windows Server 2003 Service Pack 2
(2978125)[1]
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4 sur Windows Server 2003 Édition x64 Service Pack 2
(2978125)[1]
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4 sur Windows Server 2003 avec SP2 pour systèmes Itanium
(2978125)[1]
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4 sur Windows Vista Service Pack 2
(2978125)[1]
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4 sur Windows Vista Édition x64 Service Pack 2
(2978125)[1]
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4 sur Windows Server 2008 pour systèmes 32 bits Service Pack 2
(2978125)[1]
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4 sur Windows Server 2008 pour systèmes x64 Service Pack 2
(2978125)[1]
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4 sur Windows Server 2008 pour systèmes Itanium Service Pack 2
(2978125)[1]
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4 sur Windows 7 pour systèmes 32 bits Service Pack 1
(2978125)[1]
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4 sur Windows 7 pour systèmes x64 Service Pack 1
(2978125)[1]
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4 installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(2978125)[1]
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4 installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
(2978125)[1]
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4 sur Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
(2978125)[1]
Élévation de privilèges Important
Microsoft .NET Framework 4.5/4.5.1/4.5.2
Microsoft .NET Framework 4.5/4.5.1/4.5.2 installé sur Windows Vista Service Pack 2
(2978128)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4.5/4.5.1/4.5.2 installé sur Windows Vista Édition x64 Service Pack 2
(2978128)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4.5/4.5.1/4.5.2 installé sur Windows Server 2008 pour systèmes 32 bits Service Pack 2
(2978128)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4/4.5.1/4.5.2 installé sur Windows Server 2008 pour systèmes x64 Service Pack 2
(2978128)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4.5/4.5.1/4.5.2 installé sur Windows 7 pour systèmes 32 bits Service Pack 1
(2978128)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4.5/4.5.1/4.5.2 installé sur Windows 7 pour systèmes x64 Service Pack 1
(2978128)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4.5/4.5.1/4.5.2 installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1
(2978128)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4.5/4.5.1/4.5.2 installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
(2978128)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows 8 pour systèmes 32 bits
(2978127)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4.5.1/4.5.2 sur Windows 8.1 pour systèmes 32 bits
(2978126)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows 8 pour systèmes x64
(2978127)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4.5.1/4.5.2 sur Windows 8.1 pour systèmes x64
(2978126)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows Server 2012
(2978127)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows Server 2012 (installation Server Core)
(2978127)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4.5.1/4.5.2 sur Windows Server 2012 R2
(2978126)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4.5.1/4.5.2 sur Windows Server 2012 R2 (installation Server Core)
(2978126)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows RT
(2978127)
Important
Élévation de privilèges
Important
Microsoft .NET Framework 4.5.1/4.5.2 sur Windows RT 8.1
(2978126)
Important
Élévation de privilèges
Important

[1].NET Framework 4 et .NET Framework 4 Client Profile sont affectés.

Vulnérabilité liée à TypeFilterLevel - CVE-2014-4149

Il existe une vulnérabilité d'élévation des privilèges dans la façon dont .NET Framework traite les contrôles TypeFilterLevel pour certains objets mal formés. Microsoft a été informé de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Lors de la publication de ce Bulletin, Microsoft n'avait reçu aucune information faisant état d'une utilisation de cette vulnérabilité dans le but d'attaquer des clients. Cette mise à jour corrige la vulnérabilité en veillant à ce que .NET Framework applique correctement les contrôles de sécurité pour la mémoire d'applications.

Facteurs atténuants

Les facteurs atténuants suivants peuvent être utiles, selon votre situation :

  • .NET Remoting n'est pas utilisé par un grand nombre d'applications ; seules des applications personnalisées qui ont été spécialement conçues pour utiliser .NET Remoting peuvent exposer un système à cette vulnérabilité.
  • Par défaut, les points de terminaison .NET Remoting ne sont pas accessibles aux clients anonymes.

Solutions

Les solutions de contournement suivantes peuvent être utiles, selon votre situation :

  • Activer la sécurité lors de l'enregistrement d'un canal.

    L'activation de la sécurité lors de l'enregistrement d'un canal autorise uniquement les clients authentifiés à interagir avec le serveur vulnérable. Pour plus d'informations, consultez l'article Authentification avec le canal TCP.

  • Bloquer le trafic sortant depuis le point de terminaison Remoting au niveau du pare-feu.

    Configurer votre pare-feu pour bloquer le trafic depuis le point de terminaison Remoting permet d'empêcher l'exploitation de cette vulnérabilité.

Forum aux questions

Que pourrait faire un attaquant en exploitant cette vulnérabilité ?
Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges.

Comment un attaquant pourrait-il exploiter cette vulnérabilité ?
Un attaquant non authentifié pourrait envoyer des données spécialement conçues à une station de travail ou un serveur affecté utilisant .NET Remoting, ce qui permettrait à l'attaquant d'exécuter du code arbitraire sur le système cible.

Quels sont les systèmes les plus exposés à cette vulnérabilité ?
Les systèmes exécutant des versions affectées de .NET Framework et qui utilisent .NET Remoting sont les plus exposés à cette vulnérabilité.

Déploiement des mises à jour de sécurité

Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.

Remerciements

Microsoft exprime sa reconnaissance à ceux qui dans la communauté « Sécurité » contribuent à protéger les clients par le biais de la divulgation responsable des vulnérabilités. Pour plus d'informations, consultez la section Remerciements.

Clause d'exclusion de responsabilité

Les informations fournies dans la Base de connaissances Microsoft sont fournies «en l'état » sans garantie d'aucune sorte. Microsoft exclut toute garantie expresse ou implicite, y compris toute garantie de qualité et d'adéquation à un usage particulier. Microsoft Corporation ou ses fournisseurs ne pourront en aucun cas être tenus pour responsables de tout dommage de quelque nature que ce soit, y compris les dommages directs, indirects, accessoires, consécutifs, pertes de bénéfice ou dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été prévenus de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation des responsabilités pour les dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas être applicable.

Révisions

  • V1.0 (11 novembre 2014) : Bulletin publié.

Page générée le 06/11/2014 8:24Z-08:00.