DFN-CERT-2013-0895 Schwachstellen in Microsoft .NET Framework [Windows]

DFN-CERT-2013-0895 Schwachstellen in Microsoft .NET Framework [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Microsoft .NET Framework

Betroffene Plattformen:

Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 mit SP2 für Itanium-basierte Systeme
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 für 32-bit Systeme Service Pack 2
Windows Server 2008 für x64-basierte Systeme Service Pack 2
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2
Windows 7 für 32-bit Systeme Service Pack 1
Windows 7 für x64-basierte Systeme Service Pack 1
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1
Windows 8 für 32-bit Systeme
Windows 8 für 64-bit Systeme
Windows Server 2012
Windows RT
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core
Installation)
Windows Server 2012 (Server Core Installation)

Schwachstellen in Microsoft .NET Framework ermöglichen einem Angreifer
schlimmstenfalls Authentifizierungsvorgänge zu umgehen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit, deren
Adressen dem Hersteller-Advisory entnommen werden können.

http://www.microsoft.com/technet/security/

CVE-2013-1337: Schwachstelle im .NET Framework

Im .NET Framework werden beim Setup der benutzerdefinierten
WCF-Endpoint-Authentifizierung Bedingungen für die Authentifizierung nicht
fehlerfrei erstellt, falls der ‘userNamePasswordValidationMode’-Paramater in
den Klassen ‘netHttpsBinding’ oder ‘basicHttpsBinding’ verwendet wird. Einem
Angreifer ist es durch das Senden von präparierten Anfragen an den Endpoint
möglich eine Authentifizierung zu umgehen und direkten Zugriff auf
Funktionen zu erlangen.

CVE-2013-1336: Schwachstelle im .NET Framework

In der .NET Framework CLR (Common Language Runtime) Umgebung wird versäumt
die Signatur von bestimmten XML-Dateien fehlerfrei zu validieren. Dies
ermöglicht einem entfernten Angreifer eine XML-Datei zu ändern, ohne dass
die Signatur ungültig wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0895/

Das Hersteller Advisory:
http://technet.microsoft.com/en-us/security/bulletin/ms13-040

Schwachstelle CVE-2013-1337:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1337

Schwachstelle CVE-2013-1336:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1336

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben