MS13-052:.NET Framework 和 Silverlight 中的漏洞可允许远程代码执行 (2861561)
high Nessus 插件 ID 67209
语言:
简介
远程 Windows 主机上安装的 .NET Framework 可允许任意代码执行。描述
有报告称远程主机上安装的 .NET Framework 版本受到以下漏洞的影响:- 在受影响的组件处理特别构建的 TrueType 字体文件的方式中存在一个漏洞,该漏洞可导致远程代码执行。攻击者可利用此问题,方法是诱骗用户打开特别构建的 TrueType 字体文件。
(CVE-2013-3129)
- .NET Framework 未正确处理小结构的多维数组,这可导致远程代码执行。(CVE-2013-3131)
- .NET Framework 未正确验证执行反射的某些对象的权限。
这可允许攻击者升级权限和完全控制系统。
(CVE-2013-3132)
- .NET Framework 未正确验证反射涉及的对象的权限,这可导致权限提升。
(CVE-2013-3133)
- .NET Framework 受到分配小结构的数组的方式导致的远程代码执行漏洞的影响。(CVE-2013-3134)
- 序列化期间,.NET Framework 未正确验证委托对象的权限,这可导致权限提升。
(CVE-2013-3171)
- Microsoft Silverlight 未正确处理空指针,这可导致远程代码执行。
(CVE-2013-3178)
如果可以诱骗受影响系统上的用户使用能够运行 XAML Browser Application (XBAP) 或 Silverlight 应用程序的 Web 浏览器查看特别构建的网页,则攻击者可能可以利用这些漏洞在该系统上执行任意代码。
解决方案
Microsoft 已发布一系列用于 .NET Framework 1.0、1.1、2.0、3.0、3.5、3.5.1、4.0 和 4.5 以及 Silverlight 5 的修补程序。另见
https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2013/ms13-052
插件详情
严重性: High
ID: 67209
文件名: smb_nt_ms13-052.nasl
版本: 1.12
类型: local
代理: windows
发布时间: 2013/7/10
最近更新时间: 2018/11/15
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 9.3
时间分数: 6.9
矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
漏洞信息
CPE: cpe:/o:microsoft:windows, cpe:/a:microsoft:silverlight, cpe:/a:microsoft:.net_framework
必需的 KB 项: SMB/MS_Bulletin_Checks/Possible
易利用性: No known exploits are available
补丁发布日期: 2013/7/9
漏洞发布日期: 2013/7/9
参考资料信息
CVE: CVE-2013-3129, CVE-2013-3131, CVE-2013-3132, CVE-2013-3133, CVE-2013-3134, CVE-2013-3171, CVE-2013-3178