Bulletin de sécurité Microsoft MS15-048 - Important
Les vulnérabilités dans .NET Framework peuvent autoriser l’élévation de privilèges (3057134)
Publication : 12 mai 2015 | Mise à jour : 17 juin 2015
Version : 1.1
Résumé
Cette mise à jour de sécurité résout les vulnérabilités dans Microsoft .NET Framework. Les vulnérabilités les plus graves peuvent autoriser l’élévation de privilèges si un utilisateur installe une application d’approbation partielle spécialement conçue.
Cette mise à jour de sécurité est évaluée comme importante pour Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, Microsoft .NET Framework 4.5, Microsoft .NET Framework 4.5.1 et Microsoft .NET Framework 4.5.2 sur les versions affectées de Microsoft Windows. Pour plus d’informations, consultez la section Logiciels affectés.
Les mises à jour de sécurité résolvent les vulnérabilités en corrigeant la façon dont .NET Framework déchiffre les données XML et gère les objets en mémoire. Pour plus d’informations sur la vulnérabilité, consultez la sous-section Questions fréquentes (FAQ) sur la vulnérabilité spécifique.
Pour plus d’informations sur cette mise à jour, consultez l’article de la Base de connaissances Microsoft 3057134.
Logiciel affecté
Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.
| Système d’exploitation | Composant | Impact maximal sur la sécurité | Évaluation de gravité agrégée | Mises à jour remplacé |
|---|---|---|---|---|
| Windows Server 2003 | ||||
| Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 1.1 Service Pack 1 (3023211) | Élévation de privilège | Important | 2898860 dans MS14-009 |
| Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3023220) | Élévation de privilège | Important | 2789643 dans MS13-015, 2656369 dans MS12-025 |
| Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3035488) | Déni de service | Important | 2863239 dans MS13-082, 2804577 dans MS13-040 |
| Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 4[1](3023221) | Élévation de privilège | Important | 2789642 dans MS13-015 |
| Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 4[1](3032662) | Déni de service | Important | 2804576 dans MS13-040 |
| Windows Server 2003 x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3023220) | Élévation de privilège | Important | 2789643 dans MS13-015, 2656369 dans MS12-025 |
| Windows Server 2003 x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3035488) | Déni de service | Important | 2863239 dans MS13-082, 2804577 dans MS13-040 |
| Windows Server 2003 x64 Edition Service Pack 2 | Microsoft .NET Framework 4[1](3023221) | Élévation de privilège | Important | 2789642 dans MS13-015 |
| Windows Server 2003 x64 Edition Service Pack 2 | Microsoft .NET Framework 4[1](3032662) | Déni de service | Important | 2804576 dans MS13-040 |
| Windows Server 2003 avec SP2 pour les systèmes Itanium | Microsoft .NET Framework 2.0 Service Pack 2 (3023220) | Élévation de privilège | Important | 2789643 dans MS13-015, 2656369 dans MS12-025 |
| Windows Server 2003 avec SP2 pour les systèmes Itanium | Microsoft .NET Framework 2.0 Service Pack 2 (3035488) | Déni de service | Important | 2863239 dans MS13-082, 2804577 dans MS13-040 |
| Windows Server 2003 avec SP2 pour les systèmes Itanium | Microsoft .NET Framework 4[1](3023221) | Élévation de privilège | Important | 2789642 dans MS13-015 |
| Windows Server 2003 avec SP2 pour les systèmes Itanium | Microsoft .NET Framework 4[1](3032662) | Déni de service | Important | 2804576 dans MS13-040 |
| Windows Vista | ||||
| Windows Vista Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3023213) | Élévation de privilège | Important | 2789646 dans MS13-015, 2656374 dans MS12-025 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3035485) | Déni de service | Important | 2863253 dans MS13-082, 2804580 dans MS13-040 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4[1](3023221) | Élévation de privilège | Important | 2789642 dans MS13-015 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4[1](3032662) | Déni de service | Important | 2804576 dans MS13-040 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3023224) | Élévation de privilège | Important | 2789648 dans MS13-015 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3035490) | Déni de service | Important | Aucun |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3023213) | Élévation de privilège | Important | 2789646 dans MS13-015, 2656374 dans MS12-025 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3035485) | Déni de service | Important | 2863253 dans MS13-082, 2804580 dans MS13-040 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4[1](3023221) | Élévation de privilège | Important | 2789642 dans MS13-015 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4[1](3032662) | Déni de service | Important | 2804576 dans MS13-040 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3023224) | Élévation de privilège | Important | 2789648 dans MS13-015 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3035490) | Déni de service | Important | Aucun |
| Windows Server 2008 | ||||
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3023213) | Élévation de privilège | Important | 2789646 dans MS13-015, 2656374 dans MS12-025 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3035485) | Déni de service | Important | 2863253 dans MS13-082, 2804580 dans MS13-040 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Microsoft .NET Framework 4[1](3023221) | Élévation de privilège | Important | 2789642 dans MS13-015 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Microsoft .NET Framework 4[1](3032662) | Déni de service | Important | 2804576 dans MS13-040 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3023224) | Élévation de privilège | Important | 2789648 dans MS13-015 |
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3035490) | Déni de service | Important | Aucun |
| Windows Server 2008 pour systèmes x64 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3023213) | Élévation de privilège | Important | 2789646 dans MS13-015, 2656374 dans MS12-025 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3035485) | Déni de service | Important | 2863253 dans MS13-082, 2804580 dans MS13-040 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 | Microsoft .NET Framework 4[1](3023221) | Élévation de privilège | Important | 2789642 dans MS13-015 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 | Microsoft .NET Framework 4[1](3032662) | Déni de service | Important | 2804576 dans MS13-040 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3023224) | Élévation de privilège | Important | 2789648 dans MS13-015 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3035490) | Déni de service | Important | Aucun |
| Windows Server 2008 pour les systèmes Itanium Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3023213) | Élévation de privilège | Important | 2789646 dans MS13-015, 2656374 dans MS12-025 |
| Windows Server 2008 pour les systèmes Itanium Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3035485) | Déni de service | Important | 2863253 dans MS13-082, 2804580 dans MS13-040 |
| Windows Server 2008 pour les systèmes Itanium Service Pack 2 | Microsoft .NET Framework 4[1](3023221) | Élévation de privilège | Important | 2789642 dans MS13-015 |
| Windows Server 2008 pour les systèmes Itanium Service Pack 2 | Microsoft .NET Framework 4[1](3032662) | Déni de service | Important | 2804576 dans MS13-040 |
| Windows 7 | ||||
| Windows 7 pour systèmes 32 bits Service Pack 1 | Microsoft .NET Framework 3.5.1 (3023215) | Élévation de privilège | Important | 2686831 dans MS12-038, 2656373 dans MS12-025 |
| Windows 7 pour systèmes 32 bits Service Pack 1 | Microsoft .NET Framework 3.5.1 (3032655) | Déni de service | Important | 2863240 dans MS13-082, 2804579 dans MS13-040 |
| Windows 7 pour systèmes 32 bits Service Pack 1 | Microsoft .NET Framework 4[1](3023221) | Élévation de privilège | Important | 2789642 dans MS13-015 |
| Windows 7 pour systèmes 32 bits Service Pack 1 | Microsoft .NET Framework 4[1](3032662) | Déni de service | Important | 2804576 dans MS13-040 |
| Windows 7 pour systèmes 32 bits Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3023224) | Élévation de privilège | Important | 2789648 dans MS13-015 |
| Windows 7 pour systèmes 32 bits Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3035490) | Déni de service | Important | Aucun |
| Windows 7 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3023215) | Élévation de privilège | Important | 2686831 dans MS12-038, 2656373 dans MS12-025 |
| Windows 7 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3032655) | Déni de service | Important | 2863240 dans MS13-082, 2804579 dans MS13-040 |
| Windows 7 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4[1](3023221) | Élévation de privilège | Important | 2789642 dans MS13-015 |
| Windows 7 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4[1](3032662) | Déni de service | Important | 2804576 dans MS13-040 |
| Windows 7 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3023224) | Élévation de privilège | Important | 2789648 dans MS13-015 |
| Windows 7 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3035490) | Déni de service | Important | Aucun |
| Windows Server 2008 R2 | ||||
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3023215) | Élévation de privilège | Important | 2686831 dans MS12-038, 2656373 dans MS12-025 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 3.5.1 (3032655) | Déni de service | Important | 2863240 dans MS13-082, 2804579 dans MS13-040 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4[1](3023221) | Élévation de privilège | Important | 2789642 dans MS13-015 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4[1](3032662) | Déni de service | Important | 2804576 dans MS13-040 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3023224) | Élévation de privilège | Important | 2789648 dans MS13-015 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3035490) | Déni de service | Important | Aucun |
| Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 | Microsoft .NET Framework 3.5.1 (3023215) | Élévation de privilège | Important | 2686831 dans MS12-038, 2656373 dans MS12-025 |
| Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 | Microsoft .NET Framework 3.5.1 (3032655) | Déni de service | Important | 2863240 dans MS13-082, 2804579 dans MS13-040 |
| Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 | Microsoft .NET Framework 4[1](3023221) | Élévation de privilège | Important | 2789642 dans MS13-015 |
| Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 | Microsoft .NET Framework 4[1](3032662) | Déni de service | Important | 2804576 dans MS13-040 |
| Windows 8 et Windows 8.1 | ||||
| Windows 8 pour les systèmes 32 bits | Microsoft .NET Framework 3.5 (3023217) | Élévation de privilège | Important | 2789650 dans MS13-015 |
| Windows 8 pour les systèmes 32 bits | Microsoft .NET Framework 3.5 (3035486) | Déni de service | Important | 2863243 dans MS13-082, 2804584 dans MS13-040 |
| Windows 8 pour les systèmes 32 bits | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3023223) | Élévation de privilège | Important | 2789649 dans MS13-015 |
| Windows 8 pour les systèmes 32 bits | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3035489) | Déni de service | Important | Aucun |
| Windows 8 pour systèmes x64 | Microsoft .NET Framework 3.5 (3023217) | Élévation de privilège | Important | 2789650 dans MS13-015 |
| Windows 8 pour systèmes x64 | Microsoft .NET Framework 3.5 (3035486) | Déni de service | Important | 2863243 dans MS13-082, 2804584 dans MS13-040 |
| Windows 8 pour systèmes x64 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3023223) | Élévation de privilège | Important | 2789649 dans MS13-015 |
| Windows 8 pour systèmes x64 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3035489) | Déni de service | Important | Aucun |
| Windows 8.1 pour les systèmes 32 bits | Microsoft .NET Framework 3.5 (3023219) | Élévation de privilège | Important | Aucun |
| Windows 8.1 pour les systèmes 32 bits | Microsoft .NET Framework 3.5 (3035487) | Déni de service | Important | Aucun |
| Windows 8.1 pour les systèmes 32 bits | Microsoft .NET Framework 4.5.1/4.5.2 (3023222) | Élévation de privilège | Important | Aucun |
| Windows 8.1 pour les systèmes 32 bits | Microsoft .NET Framework 4.5.1/4.5.2 (3032663) | Déni de service | Important | Aucun |
| Windows 8.1 pour les systèmes x64 | Microsoft .NET Framework 3.5 (3023219) | Élévation de privilège | Important | Aucun |
| Windows 8.1 pour les systèmes x64 | Microsoft .NET Framework 3.5 (3035487) | Déni de service | Important | Aucun |
| Windows 8.1 pour les systèmes x64 | Microsoft .NET Framework 4.5.1/4.5.2 (3023222) | Élévation de privilège | Important | Aucun |
| Windows 8.1 pour les systèmes x64 | Microsoft .NET Framework 4.5.1/4.5.2 (3032663) | Déni de service | Important | Aucun |
| Windows Server 2012 et Windows Server 2012 R2 | ||||
| Windows Server 2012 | Microsoft .NET Framework 3.5 (3023217) | Élévation de privilège | Important | 2789650 dans MS13-015 |
| Windows Server 2012 | Microsoft .NET Framework 3.5 (3035486) | Déni de service | Important | 2863243 dans MS13-082, 2804584 dans MS13-040 |
| Windows Server 2012 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3023223) | Élévation de privilège | Important | 2789649 dans MS13-015 |
| Windows Server 2012 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3035489) | Déni de service | Important | Aucun |
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 (3023219) | Élévation de privilège | Important | Aucun |
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 (3035487) | Déni de service | Important | Aucun |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.5.1/4.5.2 (3023222) | Élévation de privilège | Important | Aucun |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.5.1/4.5.2 (3032663) | Déni de service | Important | Aucun |
| Windows RT et Windows RT 8.1 | ||||
| Windows RT | Microsoft .NET Framework 4.5/4.5.1/4.5.2[2](3023223) | Élévation de privilège | Important | 2789649 dans MS13-015 |
| Windows RT | Microsoft .NET Framework 4.5/4.5.1/4.5.2[2](3035489) | Déni de service | Important | Aucun |
| Windows RT 8.1 | Microsoft .NET Framework 4.5.1/4.5.2[2](3023222) | Élévation de privilège | Important | Aucun |
| Windows RT 8.1 | Microsoft .NET Framework 4.5.1/4.5.2[2](3032663) | Déni de service | Important | Aucun |
| Option d’installation server Core | ||||
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) | Microsoft .NET Framework 3.5.1 (3023215) | Élévation de privilège | Important | 2686831 dans MS12-038, 2656373 dans MS12-025 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) | Microsoft .NET Framework 3.5.1 (3032655) | Déni de service | Important | 2863240 dans MS13-082, 2804579 dans MS13-040 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) | Microsoft .NET Framework 4[1](3023221) | Élévation de privilège | Important | 2789642 dans MS13-015 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) | Microsoft .NET Framework 4[1](3032662) | Déni de service | Important | 2804576 dans MS13-040 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3023224) | Élévation de privilège | Important | 2789648 dans MS13-015 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3035490) | Déni de service | Important | Aucun |
| Windows Server 2012 (installation minimale) | Microsoft .NET Framework 3.5 (3023217) | Élévation de privilège | Important | 2789650 dans MS13-015 |
| Windows Server 2012 (installation minimale) | Microsoft .NET Framework 3.5 (3035486) | Déni de service | Important | 2863243 dans MS13-082, 2804584 dans MS13-040 |
| Windows Server 2012 (installation minimale) | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3023223) | Élévation de privilège | Important | 2789649 dans MS13-015 |
| Windows Server 2012 (installation minimale) | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3035489) | Déni de service | Important | Aucun |
| Windows Server 2012 R2 (installation minimale) | Microsoft .NET Framework 3.5 (3023219) | Élévation de privilège | Important | Aucun |
| Windows Server 2012 R2 (installation minimale) | Microsoft .NET Framework 3.5 (3035487) | Déni de service | Important | Aucun |
| Windows Server 2012 R2 (installation minimale) | Microsoft .NET Framework 4.5.1/4.5.2 (3023222) | Élévation de privilège | Important | Aucun |
| Windows Server 2012 R2 (installation minimale) | Microsoft .NET Framework 4.5.1/4.5.2 (3032663) | Déni de service | Important | Aucun |
[1]. Profil client NET Framework 4 et .NET Framework 4 affecté.
[2]Cette mise à jour est disponible uniquement via Windows Update .
Faq sur la mise à jour
Les systèmes qui exécutent des applications .NET Framework partiellement approuvées sont exposés à l’une des vulnérabilités décrites dans ce bulletin (vulnérabilité d’élévation de privilège Windows Forms - CVE-2015-1673). Où puis-je accéder à plus d’informations ?
Pour en savoir plus sur les mesures de sécurité d’accès au code et les bonnes pratiques relatives aux applications partiellement approuvées, consultez les ressources Microsoft Developer Network suivantes :
- Sécurité d’accès du code
- Compatibilité et migration des stratégies de sécurité d’accès au code
- Guide pratique pour exécuter du code d’un niveau de confiance partiel dans un bac à sable (sandbox)
Comment faire déterminer quelle version de Microsoft .NET Framework est installée ?
Vous pouvez installer et exécuter plusieurs versions de .NET Framework sur un système et installer les versions dans n’importe quel ordre. Pour plus d’informations, consultez l’article 318785 de la Base de connaissances Microsoft.
Quelle est la différence entre le profil client .NET Framework 4 et .NET Framework 4 ?
Les packages redistribuables .NET Framework version 4 sont disponibles dans deux profils : .NET Framework 4 et .NET Framework 4 Client Profile. Le profil client .NET Framework 4 est un sous-ensemble du profil .NET Framework 4 optimisé pour les applications clientes. Il fournit des fonctionnalités pour la plupart des applications clientes, notamment windows Presentation Foundation (WPF), Windows Forms, Windows Communication Foundation (WCF) et les fonctionnalités ClickOnce. Cela permet un déploiement plus rapide et un package d’installation plus petit pour les applications qui ciblent le profil client .NET Framework 4. Pour plus d’informations, consultez l’article MSDN, .NET Framework Client Profile.
Il existe plusieurs packages de mise à jour disponibles pour certains des logiciels affectés. Dois-je installer toutes les mises à jour répertoriées dans la table Software affectée pour le logiciel ?
Oui. Les clients doivent appliquer toutes les mises à jour proposées pour le logiciel installé sur leurs systèmes.
Dois-je installer ces mises à jour de sécurité dans une séquence particulière ?
Non. Plusieurs mises à jour pour un système donné peuvent être appliquées dans n’importe quelle séquence.
Évaluations de gravité et identificateurs de vulnérabilité
Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de mai.
| Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés | |||
|---|---|---|---|
| Logiciel affecté | Vulnérabilité de déni de service de déchiffrement .NET XML - CVE-2015-1672 | Vulnérabilité d’élévation de privilèges Windows Forms - CVE-2015-1673 | Évaluation de gravité agrégée |
| Microsoft .NET Framework 1.1 Service Pack 1 | |||
| Microsoft .NET Framework 1.1 Service Pack 1 sur Microsoft Windows Server 2003 Service Pack 2 (3023211) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 | |||
| Microsoft .NET Framework 2.0 Service Pack 2 lorsqu’il est installé sur Microsoft Windows Server 2003 Service Pack 2 (3023220) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 lorsqu’il est installé sur Microsoft Windows Server 2003 Service Pack 2 (3035488) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 lorsqu’il est installé sur Microsoft Windows Server 2003 x64 Edition Service Pack 2 (3023220) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 lorsqu’il est installé sur Microsoft Windows Server 2003 x64 Edition Service Pack 2 (3035488) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 lorsqu’il est installé sur Microsoft Windows Server 2003 pour les systèmes Itanium Service Pack 2 (3023220) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 lorsqu’il est installé sur Microsoft Windows Server 2003 pour les systèmes Itanium Service Pack 2 (3035488) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Vista Service Pack 2 (3023213) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Vista Service Pack 2 (3035485) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Vista x64 Edition Service Pack 2 (3023213) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Vista x64 Edition Service Pack 2 (3035485) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3023213) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3035485) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Server 2008 pour systèmes x64 Service Pack 2 (3023213) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Server 2008 pour systèmes x64 Service Pack 2 (3035485) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Server 2008 pour les systèmes Itanium Service Pack 2 (3023213) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 2.0 Service Pack 2 sur Windows Server 2008 pour les systèmes itanium Service Pack 2 (3035485) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 3.5 | |||
| Microsoft .NET Framework 3.5 sur Windows 8 pour les systèmes 32 bits (3023217) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 3.5 sur Windows 8 pour les systèmes 32 bits (3035486) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 3.5 sur Windows 8 pour systèmes x64 (3023217) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 3.5 sur Windows 8 pour systèmes x64 (3035486) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 3.5 sur Windows Server 2012 (3023217) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 3.5 sur Windows Server 2012 (installation Server Core) (3023217) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 3.5 sur Windows Server 2012 (3035486) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 3.5 sur Windows Server 2012 (installation Server Core) (3035486) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 3.5 sur Windows 8.1 pour les systèmes 32 bits (3023219) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 3.5 sur Windows 8.1 pour les systèmes 32 bits (3035487) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 3.5 sur Windows 8.1 pour les systèmes x64 (3023219) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 3.5 sur Windows 8.1 pour systèmes x64 (3035487) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 3.5 sur Windows Server 2012 R2 (3023219) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 3.5 sur Windows Server 2012 R2 (installation Server Core) (3023219) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 3.5 sur Windows Server 2012 R2 (3035487) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 3.5 sur Windows Server 2012 R2 (installation Server Core) (3035487) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 3.5.1 | |||
| Microsoft .NET Framework 3.5.1 sur Windows 7 pour systèmes 32 bits Service Pack 1 (3023215) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 3.5.1 sur Windows 7 pour systèmes 32 bits Service Pack 1 (3032655) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 3.5.1 sur Windows 7 pour systèmes x64 Service Pack 1 (3023215) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 3.5.1 sur Windows 7 pour systèmes x64 Service Pack 1 (3032655) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 3.5.1 sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3023215) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 3.5.1 sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) (3023215) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 3.5.1 sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3032655) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 3.5.1 sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) (3032655) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 3.5.1 sur Windows Server 2008 R2 pour systèmes Itanium Service Pack 1 (3023215) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 3.5.1 sur Windows Server 2008 R2 pour systèmes Itanium Service Pack 1 (3032655) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4 | |||
| Microsoft .NET Framework 4 quand il est installé sur Windows Server 2003 Service Pack 2 (3023221)[1] | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4 installé sur Windows Server 2003 Service Pack 2 (3032662)[1] | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4 installé sur Windows Server 2003 x64 Edition Service Pack 2 (3023221)[1] | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4 installé sur Windows Server 2003 x64 Edition Service Pack 2 (3032662)[1] | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2003 avec SP2 pour les systèmes itanium (3023221)[1] | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2003 avec SP2 pour les systèmes itanium (3032662)[1] | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4 sur Windows Vista Service Pack 2 (3023221)[1] | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4 sur Windows Vista Service Pack 2 (3032662)[1] | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4 sur Windows Vista x64 Edition Service Pack 2 (3023221)[1] | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4 sur Windows Vista x64 Edition Service Pack 2 (3032662)[1] | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3023221)[1] | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4 installé sur Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3032662)[1] | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2008 pour systèmes x64 Service Pack 2 (3023221)[1] | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2008 pour systèmes x64 Service Pack 2 (3032662)[1] | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4 quand il est installé sur Windows Server 2008 pour les systèmes Itanium Service Pack 2 (3023221)[1] | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4 quand il est installé sur Windows Server 2008 pour les systèmes Itanium Service Pack 2 (3032662)[1] | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4 quand il est installé sur Windows 7 pour systèmes 32 bits Service Pack 1 (3023221)[1] | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4 lorsqu’il est installé sur Windows 7 pour systèmes 32 bits Service Pack 1 (3032662)[1] | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4 lorsqu’il est installé sur Windows 7 pour systèmes x64 Service Pack 1 (3023221)[1] | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4 quand il est installé sur Windows 7 pour systèmes x64 Service Pack 1 (3032662)[1] | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3023221)[1] | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) (3023221)[1] | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3032662)[1] | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) (3032662)[1] | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4 lorsqu’il est installé sur Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 (3023221)[1] | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4 quand il est installé sur Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 (3032662)[1] | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 | |||
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows Vista Service Pack 2 (3023224) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows Vista Service Pack 2 (3035490) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows Vista x64 Edition Service Pack 2 (3023224) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows Vista x64 Edition Service Pack 2 (3035490) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3023224) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3035490) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4/4.5.1/4.5.2 lorsqu’il est installé sur Windows Server 2008 pour systèmes x64 Service Pack 2 (3023224) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows Server 2008 pour systèmes x64 Service Pack 2 (3035490) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows 7 pour systèmes 32 bits Service Pack 1 (3023224) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows 7 pour systèmes 32 bits Service Pack 1 (3035490) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows 7 pour systèmes x64 Service Pack 1 (3023224) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows 7 pour systèmes x64 Service Pack 1 (3035490) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3023224) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 lorsqu’il est installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) (3023224) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3035490) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 quand il est installé sur Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) (3035490) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows 8 pour les systèmes 32 bits (3023223) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows 8 pour les systèmes 32 bits (3035489) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4.5.1/4.5.2 sur Windows 8.1 pour les systèmes 32 bits (3023222) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4.5.1/4.5.2 sur Windows 8.1 pour les systèmes 32 bits (3032663) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows 8 pour systèmes x64 (3023223) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows 8 pour les systèmes x64 (3035489) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4.5.1/4.5.2 sur Windows 8.1 pour les systèmes x64 (3023222) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4.5.1/4.5.2 sur Windows 8.1 pour les systèmes x64 (3032663) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows Server 2012 (3023223) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows Server 2012 (installation Server Core) (3023223) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows Server 2012 (3035489) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows Server 2012 (installation Server Core) (3035489) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4.5.1/4.5.2 sur Windows Server 2012 R2 (3023222) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4.5.1/4.5.2 sur Windows Server 2012 R2 (installation Server Core) (3023222) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4.5.1/4.5.2 sur Windows Server 2012 R2 (3032663) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4.5.1/4.5.2 sur Windows Server 2012 R2 (installation Server Core) (3032663) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows RT (3023223) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4.5/4.5.1/4.5.2 sur Windows RT (3035489) | Déni de service important | Non applicable | Important |
| Microsoft .NET Framework 4.5.1/4.5.2 sur Windows RT 8.1 (3023222) | Non applicable | Élévation de privilège importante | Important |
| Microsoft .NET Framework 4.5.1/4.5.2 sur Windows RT 8.1 (3032663) | Déni de service important | Non applicable | Important |
[1]. Profil client NET Framework 4 et .NET Framework 4 affecté.
Informations sur la vulnérabilité
Vulnérabilité de déni de service de déchiffrement .NET XML - CVE-2015-1672
Une vulnérabilité de déni de service existe dans Microsoft .NET Framework qui pourrait permettre à un attaquant non authentifié de dégrader les performances d’un . Site web avec NET et interruption de la disponibilité des applications qui utilisent Microsoft .NET Framework. La vulnérabilité existe lorsque Microsoft .NET Framework tente de déchiffrer certaines données XML spécialement conçues.
Pour exploiter cette vulnérabilité, un attaquant peut envoyer des données XML spécialement conçues à une application .NET avec l’intention de provoquer la récursivité du traitement qui conduit à la condition de déni de service. Les serveurs exécutant des versions affectées de Microsoft .NET Framework sont principalement exposés à cette vulnérabilité. La mise à jour résout la vulnérabilité en corrigeant la façon dont .NET Framework déchiffre les données XML.
Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Lorsque ce bulletin de sécurité a été émis, Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients.
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Vulnérabilité d’élévation de privilèges Windows Forms - CVE-2015-1673
Une vulnérabilité d’élévation de privilèges existe dans Microsoft .NET Framework qui est provoquée quand . Les bibliothèques Windows Forms (WinForms) de NET gèrent incorrectement les objets en mémoire. Un attaquant qui a réussi à exploiter la vulnérabilité peut prendre le contrôle complet d’un système affecté. Un attaquant peut alors installer des programmes, afficher, modifier ou supprimer des données, ou créer des comptes avec des droits d’utilisateur complets. Les utilisateurs dont les comptes sont configurés avec des droits restreints sur le système sont moins vulnérables que les utilisateurs qui ont des droits administratifs.
Pour exploiter cette vulnérabilité, un attaquant peut utiliser des tactiques d’ingénierie sociale pour attirer un utilisateur dans l’installation d’une application d’approbation partielle spécialement conçue. Les stations de travail et les serveurs qui exécutent des applications .NET Framework à confiance partielle sont principalement exposés à cette vulnérabilité. La mise à jour résout la vulnérabilité en corrigeant la façon dont .NET Framework gère les objets en mémoire.
Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Lorsque ce bulletin de sécurité a été émis, Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients.
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Déploiement des mises à jour de sécurité
Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.
Remerciements
Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (12 mai 2015) : Bulletin publié.
- V1.1 (17 juin 2015) : correction du remplacement du bulletin pour la mise à jour 3035488 pour .NET Framework 2.0 sur toutes les éditions affectées de Windows Server 2003 Service Pack 2.
Page générée 2015-06-16 10 :33Z-07 :00.