微软今天发布了一份安全公告,证实ASP.NET中存在一个漏洞,并且已经被曝光。微软表示,当前还没有发现有人使用此漏洞展开攻击活动,也没有用户报告已经受到影响。
攻击者可以利用这个漏洞查看目标服务器的加密数据,比如View State,还可以读取目标服务器上的文件数据,比如web.config,这个漏洞还能允许攻击者任意篡改数据内容。将修改后的内容发送至受影响的服务器后,攻击者就可以查看服务器返回的错误代码。
微软称当前正在与合作伙伴通力协作,希望在微软没有开发出补丁之前这些合作伙伴能为其用户提供暂时的保护措施。微软指出,在完成对此漏洞的调查后公司将在每月例行补丁发布时提供安全升级,也可能会根据情况发布非常规性补丁。
ASP.NET中存在的这个漏洞影响的操作系统包括:Windows XP SP3、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2。