微軟 .NET Framework 權限提升多個漏洞

最後更新 2015年11月11日 16:49 發佈日期: 2015年11月11日 940 觀看次數

風險: 中度風險

類型: 操作系統 - 視窗操作系統

.NET 資訊洩漏弱點
.NET Framework DTD 剖析部份蓄意製作 XML 檔的方式存在資訊洩漏弱點。成功利用此弱點的攻擊者可獲得目標系統本機檔案的讀取存取權。
.NET 權限提高弱點
ASP.NET 不當驗證 HTTP 要求的值時，會造成使用者暴露於可能的跨網站指令碼處理 (XSS) 攻擊，因此存在權限提高弱點。成功利用該弱點的攻擊者可利用有弱點的網站，將用戶端指令碼注入使用者的瀏覽器，最終修改或偽造內容、進行網路詐騙活動、洩漏資訊，或在受影響的網站上進行使用者有權進行的任何活動。
.NET ASLR 略過
.NET Framework 元件中存在資訊安全功能略過，而無法妥善實作位址空間配置隨機載入 (ASLR) 資訊安全功能，此功能可保護使用者免於多種弱點的侵擾。ASLR 略過可能允許攻擊者略過資訊安全功能，然後載入其他惡意程式碼，嘗試利用其他漏洞。略過資訊安全功能本身不會允許執行任意程式碼。但是，攻擊者可以利用 ASLR 略過搭配其他漏洞 (例如遠端程式碼執行漏洞)，即可執行任意程式碼。