Microsoft signale une vulnérabilité critique d'exécution de code à distance dans PowerShell 7, causée par la façon dont le codage du texte est effectué dans .NET 5 et .NET Core.

PowerShell fournit un shell de ligne de commande, un cadre et un langage de script axé sur l'automatisation du traitement des commandes PowerShell.

L'entreprise indique qu'aucune mesure d'atténuation n'est disponible pour bloquer l'exploitation de la faille de sécurité suivie sous le nom de CVE-2021-26701. Les clients sont donc invités à installer les versions mises à jour de PowerShell 7.0.6 et 7.1.3 dès que possible afin de protéger leurs systèmes contre les attaques potentielles.

L'avis initial de Microsoft fournit également aux développeurs des conseils pour mettre à jour leurs applications afin de supprimer cette vulnérabilité.

"Le package vulnérable est System.Text.Encodings.Web. Sa mise à jour et le redéploiement de votre application devraient suffire à éliminer cette vulnérabilité", a expliqué Microsoft.

Toute application basée sur .NET 5, .NET Core ou .NET Framework utilisant une version du package System.Text.Encodings.Web listée ci-dessous est exposée aux attaques, et donc doit être mise à jours comme suit :

· Les versions 4.0.0 - 4.5.0 doivent être mises à jour vers la version 4.5.1.

· Les versions 4.6.0 - 4.7.1 doivent être mises à jour vers la version 4.7.2.

· La version 5.0.0 doivent être mise à jour vers la version 5.0.1.

Bien que Visual Studio contienne également les binaires .NET, il n'est pas vulnérable à ce problème, selon l'avis de sécurité de Microsoft.

Microsoft a également annoncé récemment qu'il faciliterait la mise à jour de PowerShell sur Windows 10 et Windows Server en publiant les futures mises à jour via le service Microsoft Update.