Vulnérabilité d’élévation de privilèges dans .NET Framework

CVE-2018-8202

Faille de sécurité

Date de publication : 10 juil. 2018

Dernière mise à jour : 15 août 2018

Assigning CNA: Microsoft

CVE.org link: MitreCVE-2018-8202

Synthèse

Il existe une vulnérabilité d’élévation de privilèges dans .NET Framework qui pourrait permettre à un attaquant d’élever son niveau de privilèges.

Pour exploiter la vulnérabilité, un attaquant devrait d’abord pouvoir accéder à l’ordinateur local, puis exécuter un programme malveillant.

Cette mise à jour corrige la vulnérabilité en modifiant la façon dont .NET Framework active les objets COM.

Exploitabilité

Le tableau ci-dessous fournit une évaluation d’exploitabilité pour cette vulnérabilité lors de la publication initiale.

Publicly disclosed: Non
Exploited: Non
Exploitability assessment: Exploitation moins probable

Forum aux questions

Après que j’ai installé les mises à jour de juillet 2018 pour .NET Framework, les applications ne démarrent plus ou ne fonctionnent plus correctement. Que faire pour remédier à cette situation ?

Microsoft a reçu des rapports de plusieurs clients faisant état d’applications qui ne démarrent pas ou qui ne fonctionnent pas correctement. Consultez les actions recommandées ci-dessous.

Actions recommandées

Si vous n’avez pas installé les mises à jour de sécurité publiées le 10 juillet pour .NET : Testez les mises à jour publiées le 10 juillet et, si vous ne détectez aucune erreur d’application, appliquez les mises à jour en mode de production.

Si vous avez installé les mises à jour de sécurité publiées le 10 juillet pour .NET et ne rencontrez aucun problème : Aucune action n’est requise.

Si vous avez installé les mises à jour de sécurité publiées le 10 juillet pour .NET et rencontrez des erreurs d’application :

Inscrivez-vous au service de notification de sécurité pour être averti en cas de modification du contenu de cet avis et des notifications de nouvelles mises à jour.  Consultez la page Service de notification de sécurité de Microsoft.
Évaluez le risque d’erreurs d’application dues aux mises à jour par rapport au risque d’exposition à la vulnérabilité :

Instructions concernant les risques :

Les postes de travail et les serveurs Terminal Server constituent les principaux systèmes cibles sur lesquels un attaquant pourrait disposer d’un accès de niveau utilisateur afin d’exploiter la vulnérabilité. Dans le cas d’un serveur d’applications web, les utilisateurs non privilégiés ne disposent généralement pas d’un accès au système par connexion. En tant que telle, la surface d’attaque est réduite.

Si le risque d’erreurs d’application est acceptable :

Appliquez les mises à jour de sécurité publiées le 10 juillet pour .NET sur les postes de travail et les serveurs autres que les serveurs d’applications web.
Préparez-vous à appliquer la prochaine mise à jour cumulative, qui ne comporte plus les erreurs d’application décrites dans l’article KB4345913. Pour vous prévenir, Microsoft mettra à jour cette CVE dès que ces mises à jour seront disponibles.

Si le risque d’erreurs d’application n’est pas acceptable :

Supprimez les mises à jour de sécurité publiées le 10 juillet pour .NET des systèmes présentant des erreurs d’application.
Pour vous prévenir, Microsoft mettra à jour cette CVE dès qu’une mise à jour limitée sera disponible dans les prochains jours. Appliquez-la aux serveurs d’applications web concernés.

Remerciements

Mises à jour de sécurité

Consultez le site web Politique de support Microsoft pour connaître la politique de support correspondant à votre logiciel.

Date de publication Descending

Date de publication

Produit

Plateforme

Impact

Gravité max.

Article

Télécharger

Build Number

Clause d’exclusion de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l’état », sans garantie d’aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. Microsoft Corporation ou ses fournisseurs ne pourront en aucun cas être tenus pour responsables de tout dommage de quelque nature que ce soit, y compris les dommages directs, indirects, accessoires, consécutifs, pertes de bénéfice ou dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été prévenus de l’éventualité de tels dommages. Certains pays n’autorisent pas l’exclusion ou la limitation des responsabilités pour les dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas être applicable.

Révisions

version

revisionDate

description

5.0

15 août 2018

Microsoft publie le correctif cumulatif mensuel, les mises à jour de sécurité uniquement et les mises à jour de sécurité d’août afin de résoudre entièrement des problèmes connus que certains clients rencontrent suite à l’installation des mises à jour de sécurité de juillet pour .NET Framework. Les clients qui ont installé les mises à jour autonomes ou la mise à jour cumulative de remplacement doivent également installer les mises à jour d’août. Consultez le tableau des produits concernés pour obtenir les liens de téléchargement et d’installation des mises à jour d’août.

4.1

1 août 2018

Correction des entrées d’article et de téléchargement dans le tableau des produits concernés. Il s’agit d’une modification purement informative.

4.0

31 juil. 2018

Microsoft annonce la publication de mises à jour disponibles sur le Catalogue Microsoft Update afin de résoudre des problèmes connus que certains clients rencontrent suite à l’installation des mises à jour de sécurité de juillet 2018 pour .NET Framework. Si vous rencontrez les erreurs d’application décrites dans KB4345913 (https://support.microsoft.com/fr-fr/help/4345913), Microsoft vous recommande d’installer la mise à jour autonome applicable à votre système. Si vous utilisez Windows 10 version 1607 ou Windows Server 2016, vous devez installer la mise à jour cumulative 4346877 pour corriger les erreurs d’application. Consultez le tableau des produits concernés pour obtenir les liens de téléchargement et d’installation des mises à jour.

3.0

26 juil. 2018

Microsoft a connaissance d’un problème connu qui peut se produire après l’installation des mises à jour de sécurité publiées le 10 juillet pour la vulnérabilité CVE-2018-8202. Nous recherchons une solution à ce problème et publierons des mises à jour de sécurité pour cette vulnérabilité CVE dès qu’elles seront disponibles. Entretemps, consultez la section Forum aux questions de la vulnérabilité CVE-2018-8202 pour connaître les actions recommandées que vous pouvez prendre avant de déployer ces mises à jour. Consultez également l’article KB4345913 pour plus d’informations, entre autres la description des erreurs d’application qui peuvent se produire et les solutions de contournement disponibles.

2.0

19 juil. 2018

Pour résoudre un problème connu dans les mises à jour de sécurité publiées le 10 juillet, Microsoft publie des packages de mise à jour cumulative de remplacement pour toutes les éditions prises en charge de Windows 10. Ces packages sont disponibles dans le Catalogue Microsoft Update, sur WSUS ou par une recherche manuelle sur Windows Update. Si vous rencontrez des problèmes suite à l’installation des mises à jour de sécurité Windows de juillet, vous devez installer les packages de remplacement. Notez que les correctifs cumulatifs mensuels et les mises à jour de sécurité uniquement pour .NET Framework ne sont pas concernés. Consultez le tableau des produits concernés pour connaître les numéros des packages de remplacement. Si vous avez installé les mises à jour de sécurité et ne rencontrez aucun problème, vous ne devez pas entreprendre de nouvelle action.

2.1

19 juil. 2018

Correction des entrées de remplacement dans le tableau des produits concernés. Il s’agit d’une modification purement informative.

1.0

10 juil. 2018

Publication d’informations.

Quel est votre degré de satisfaction en ce qui concerne le guide des mises à jour de sécurité MSRC ?