Alert GCSA-09092 - Vulnerabilita' in Microsoft .NET Common Language
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-09092
Data : 15 Ottobre 2009
Titolo : Vulnerabilita' in Microsoft .NET Common Language
Runtime (MS09-061)
******************************************************************
:: Descrizione del problema
Sono state identificate tre vulnerabilita' in Microsoft .NET e Microsoft
Silverlight che potrebbero essere sfruttate per eseguire codice
arbitrario su un sistema vulnerabile. Le vulnerabilita' sono dovute ad
errori di verifica del codice e nelle librerie CLR e potrebbero
permettere ad un attaccante remoto di bypassare certe politiche di
sicurezza fino all'esecuzione di codice arbitrario su una macchina che
ne sia affetta, inducendo a visitare con Internet Explorer pagine web
malevole appositamente predisposte. Queste vulnerabilita' possono essere
sfruttate anche in presenza di un IIS server che permetta l'elaborazione
di script ASP.NET, mediante l'upload sul server di file ASP.NET malevoli.
:: Software interessato
Microsoft .NET Framework 1.0 Service Pack 3
Microsoft .NET Framework 1.1 Service Pack 1
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 Service Pack 1
:: Impatto
Esecuzione di codice arbitrario
Possibile compromissione del sistema
:: Soluzioni
Applicare gli aggiornamenti rilasciati da Microsoft:
http://www.microsoft.com/technet/security/Bulletin/MS09-061.mspx
:: Riferimenti
Microsoft Security Bulletin MS09-061
http://www.microsoft.com/technet/security/Bulletin/MS09-061.mspx
Secunia
http://secunia.com/advisories/37006
VuPEN
http://www.vupen.com/english/advisories/2009/2896
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0090
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0091
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2497
-----BEGIN PGP SIGNATURE-----
iQCUAwUBStby0fOB+SpikaiRAQKaLwP44Ctm1FfwSkKn2o8jvMtSUNz1CMYoKLf/
fFWMegSAkeIeL8KYwbzZbLj37GiCaUqiFj3wfvKcnlwgszwDyHR0qOkg/sZoMQFI
wIj6atETIw+ceab8drDDQntMIQhI0USj/lfpEHtCSNltJOS4tK88/nyJkZ+j0iJo
swqFok77tA==
=dVty
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID : GCSA-09092
Data : 15 Ottobre 2009
Titolo : Vulnerabilita' in Microsoft .NET Common Language
Runtime (MS09-061)
******************************************************************
:: Descrizione del problema
Sono state identificate tre vulnerabilita' in Microsoft .NET e Microsoft
Silverlight che potrebbero essere sfruttate per eseguire codice
arbitrario su un sistema vulnerabile. Le vulnerabilita' sono dovute ad
errori di verifica del codice e nelle librerie CLR e potrebbero
permettere ad un attaccante remoto di bypassare certe politiche di
sicurezza fino all'esecuzione di codice arbitrario su una macchina che
ne sia affetta, inducendo a visitare con Internet Explorer pagine web
malevole appositamente predisposte. Queste vulnerabilita' possono essere
sfruttate anche in presenza di un IIS server che permetta l'elaborazione
di script ASP.NET, mediante l'upload sul server di file ASP.NET malevoli.
:: Software interessato
Microsoft .NET Framework 1.0 Service Pack 3
Microsoft .NET Framework 1.1 Service Pack 1
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 Service Pack 1
:: Impatto
Esecuzione di codice arbitrario
Possibile compromissione del sistema
:: Soluzioni
Applicare gli aggiornamenti rilasciati da Microsoft:
http://www.microsoft.com/technet/security/Bulletin/MS09-061.mspx
:: Riferimenti
Microsoft Security Bulletin MS09-061
http://www.microsoft.com/technet/security/Bulletin/MS09-061.mspx
Secunia
http://secunia.com/advisories/37006
VuPEN
http://www.vupen.com/english/advisories/2009/2896
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0090
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0091
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2497
-----BEGIN PGP SIGNATURE-----
iQCUAwUBStby0fOB+SpikaiRAQKaLwP44Ctm1FfwSkKn2o8jvMtSUNz1CMYoKLf/
fFWMegSAkeIeL8KYwbzZbLj37GiCaUqiFj3wfvKcnlwgszwDyHR0qOkg/sZoMQFI
wIj6atETIw+ceab8drDDQntMIQhI0USj/lfpEHtCSNltJOS4tK88/nyJkZ+j0iJo
swqFok77tA==
=dVty
-----END PGP SIGNATURE-----