微軟發(fā)布安全預警 ASP.NET 驚爆新安全漏洞

Win7之家（ afsion.com.cn）：微軟發(fā)布安全預警 ASP.NET 驚爆新安全漏洞

微軟安全響應中心昨天中午發(fā)布最新安全預警, 提醒廣大ASP.NET用戶防范一處新安全漏洞. 攻擊者可利用存在于ASP.NET加密模塊的一處最新漏洞訪問到包括web.config在內的任何文件. 此漏洞存在于ASP.NET所有已發(fā)布的版本中, 其影響程度不容小視. 目前尚無補丁發(fā)布. 請廣大開發(fā)和維護人員加強防范.

據(jù)悉, ASP.Net 加密模塊中新公開的漏洞可使攻擊者解密并篡改任意加密數(shù)據(jù)。 如果 ASP.Net 應用程序使用的是 ASP.Net 3.5 SP1 或更高版本，攻擊者可以使用此加密漏洞請求 ASP.Net 應用程序中的任意文件的內容。 網(wǎng)絡上一些已流傳開的攻擊案例顯示出攻擊者可以利用該加密漏洞獲取 web.config 文件的內容。 實際上一旦攻擊者獲取了web應用程序worker process的訪問權限, 他即有權訪問的應用程序中的任意文件。

有關該漏洞的詳細信息, 請訪問: http://www.microsoft.com/technet/security/advisory/2416728.mspx