漏洞起因
边界条件错误
危险等级
高
影响系统
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 4.0
Microsoft .NET Framework 3.5
Microsoft .NET Framework 2.0 SP2
Microsoft .NET Framework 1.1 SP1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.0 SP3
Microsoft .NET Framework 1.0 SP2
Microsoft .NET Framework 1.0 SP1
Microsoft .NET Framework 1.0
不受影响系统
危害
远程攻击者可以利用漏洞以应用程序上下文执行任意代码。
攻击所需条件
攻击者必须构建恶意WEB页,诱使用户解析。
漏洞信息
Microsoft .NET Framework是一套由Microsoft分发的帮助开发者构建基于WEB应用的系统。
Microsoft .NET Framework System.DirectoryServices.Protocols (S.DS.P)命名空间方法没有正确校验内存中的对象大小,在拷贝这些对象到数组之前缺少正确的边界检查,可触发缓冲区溢出。攻击者可以构建特制的XMAL浏览器应用(XBAP)或不可信的.Net应用,诱使用户解析,可完全控制应用系统,执行任意代码。
测试方法
临时解决方案
-在Internet Explorer中禁用XAML浏览器应用
-把可信站点添加到Internet Explorer可信域中
厂商解决方案
用户可参考如下厂商提供的安全公告获得补丁信息,修复此漏洞:
http://technet.microsoft.com/en-us/security/bulletin/ms13-004
漏洞提供者
Vitaliy Toropov, working with Tipping Point’s Zero Day Initiative
评论关闭。