微软今天发布了一个紧急补丁,修复之前曝光的存在于ASP.NET中的一个漏洞。该漏洞会导致信息泄露,攻击者能利用这个漏洞查看目标服务器的加密数据,比如View State,还可以读取目标服务器上的文件数据,比如web.config。攻击者还能利用这个漏洞对服务器进行解密并任意篡改数据内容。
微软指出,.NET Framework 3.5 SP1之前的版本并不受此漏洞影响。微软将此次发布的补丁定级为重要,适用于除了.NET Framework 1.0 SP3之外的当前所有ASP.NET版本。
ASP.NET中存在的这个漏洞影响的操作系统包括:Windows XP SP3、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2。
当前微软仅在下载中心提供了该补丁,微软建议管理员、企业用户和终端用户到下载中心手动下载并部署该补丁。在接下来的几天,经过测试后,微软会通过Windows Update和Windows Server Update Services推送该补丁。
此补丁的公共编号为MS10-070,知识库编号为KB2418042,是微软继月初发布9个例行补丁之后的第十个补丁,也是为数不多的几个紧急补丁。
官方下载页面:
http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx