微軟今天發(fā)布了一份安全公告�,證實(shí)ASP.NET中存在一個(gè)漏洞��,并且已經(jīng)被曝光���。微軟表示��,當(dāng)前還沒有發(fā)現(xiàn)有人使用此漏洞展開攻擊活動��,也沒有用戶報(bào)告已經(jīng)受到影響��。
攻擊者可以利用這個(gè)漏洞查看目標(biāo)服務(wù)器的加密數(shù)據(jù)��,比如View State��,還可以讀取目標(biāo)服務(wù)器上的文件數(shù)據(jù)���,比如web.config���,這個(gè)漏洞還能允許攻擊者任意篡改數(shù)據(jù)內(nèi)容。將修改后的內(nèi)容發(fā)送至受影響的服務(wù)器后�,攻擊者就可以查看服務(wù)器返回的錯(cuò)誤代碼。
微軟稱當(dāng)前正在與合作伙伴通力協(xié)作�����,希望在微軟沒有開發(fā)出補(bǔ)丁之前這些合作伙伴能為其用戶提供暫時(shí)的保護(hù)措施�����。微軟指出����,在完成對此漏洞的調(diào)查后公司將在每月例行補(bǔ)丁發(fā)布時(shí)提供安全升級,也可能會根據(jù)情況發(fā)布非常規(guī)性補(bǔ)丁���。
ASP.NET中存在的這個(gè)漏洞影響的操作系統(tǒng)包括:Windows XP SP3�、Windows Server 2003�����、Windows Vista�、Windows Server 2008、Windows 7�、Windows Server 2008 R2。
