説明
.NET Frameworkでは複数の重大な脆弱性が発見されています。悪意のあるユーザーは、これらの脆弱性を悪用してサービス拒否を引き起こしたり、セキュリティ制限を回避したり、特権を得ることができます。
以下は、脆弱性の完全なリストです
- 不適切なメモリオブジェクトの検証は、特別に設計されたアプリケーションまたはWebサイトを介してリモートから悪用され、権限を取得したり、セキュリティ制限をバイパスすることができます。
- ASP.NETサーバーでの不適切な要求処理は、サービス拒否を引き起こすように特別に設計された要求を介してリモートから悪用される可能性があります。
技術的な詳細
脆弱性(1)には、2つの利用シナリオがあります。 Web攻撃のシナリオでは、攻撃者は特別に設計されたXAMLブラウザアプリケーションを使用してWebコンテンツを使用します。このシナリオをうまく利用するには、ログインしてXBAPをインスタンシエートできるブラウザを使用する必要があります。 .NETアプリケーションのシナリオでは、攻撃者は悪意のある.NETアプリケーションを使用してコードアクセスセキュリティの制限をバイパスできます。 2番目のシナリオでは、影響を受けるシステムが信頼できない.NETアプリケーションを実行できるようにする必要があります。
脆弱性(2)を悪用した攻撃者は、少数の特別に設計された要求を送信して、ASP.NETサーバーのパフォーマンスを低下させ、サービス拒否を引き起こす可能性があります。
オリジナルアドバイザリー
CVEリスト
KBリスト
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com
この脆弱性についての記述に不正確な点がありますか? お知らせください!