Changer l'apparence
Alertes: ASP.NET 1.x et Microsfoft.NET Framework 1.x
Groupe(s) OS affecté(s) : Microsoft Windows
Impact(s) : CSS (Cross Site Scripting)
Solution : Pas de mise à jour disponible
Exploit : Disponible
ZATAZ ID : ASZ-2005-377
Localisation(s) : Distante
Date de découverte : 19.02.2005
Un internaute malveillant pourrait exécuter des attaques du type Cross Site Scripting (CSS) par le biais de cette vulnérabilité.
Andrey Rusyaev a découvert une vulnérabilité dans ASP.NET 1.x et dans Microsfoft.NET Framework 1.x
La vulnérabilité est due à une erreur de validation d'entrée dans le filtrage de caractères spéciaux HTML fournies en tant que caractères unicode dans le méchanisme de sécurité de "Request Validation" et "HttpServerUtility.HtmlEncode". Cette erreur peut être exploitée pour exécuter du code arbitraire dans le contexte de navigation de l'internaute cible par le biais d'un script retournant les entrées fournies par l'internaute.
L'exploitation requiert que l'encodage de réponse soit mis dans un format national ASCII (pas le cas par défault).
La vulnérabilité a été confirmée pour Microsoft .NET Framework 1.x version 1.1.4322.573. La vulnérabilité a été aussi rapportée pour Microsoft .NET Framework 1.0 (service pack2 et précédent) et 1.1 (service pack 1 et précédent).
Configuré l'encodage de réponse en UNICODE (cas par défault).
Veuillez noter que les informations diffusées par ZATAZ.net dans le cadre de sa rubrique Alertes ont comme
provenance des parties tierces.
ZATAZ.net collecte, valide et vérifie les vulnérabilités diffusées par les fournisseurs, groupes de recherches
spécialisés dans la sécurité informatique, etc.
Si vous désirez nous envoyer des alertes de sécurité que vous avez découvertes, contactez-nous sur alertes@zataz.net