ASP.NET惊爆新安全漏洞 攻击者可访问任意文件

据悉, ASP.Net 加密模块中新公开的漏洞可使攻击者解密并篡改任意加密数据。 如果 ASP.Net 应用程序使用的是 ASP.Net 3.5 SP1 或更高版本，攻击者可以使用此加密漏洞请求 ASP.Net 应用程序中的任意文件的内容。 网络上一些已流传开的攻击案例显示出攻击者可以利用该加密漏洞获取 web.config 文件的内容。 实际上一旦攻击者获取了web应用程序worker process的访问权限, 他即有权访问的应用程序中的任意文件。

微软称当前正在与合作伙伴通力协作，希望在微软没有开发出补丁之前这些合作伙伴能为其用户提供暂时的保护措施。微软指出，在完成对此漏洞的调查后公司将在每月例行补丁发布时提供安全升级，也可能会根据情况发布非常规性补丁。

ASP.NET中存在的这个漏洞影响的操作系统包括：Windows XP SP3、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2。

有关该漏洞的详细信息, 请访问:  http://www.microsoft.com/technet/security/advisory/2416728.mspx 

原文链接：http://www.cnbeta.com/articles/122277.htm