CDHaha Download


2014-10-15 | [3,865]

MS14-059 Vulnerability in ASP.NET MVC Could Allow Security Feature Bypass (2990942)

,

.NET Framework此安全更新解决了 ASP.NET MVC 中一个公开披露的漏洞。如果攻击者诱使用户单击特制链接或访问包含旨在利用漏洞的特制内容的网页,则此漏洞可能允许绕过安全功能。在基于 Web 的攻击情形中,攻击者可能拥有一个旨在通过 Web 浏览器利用漏洞的特制网站,然后诱使用户查看该网站。攻击者还可能利用受到破坏的网站以及接受或宿主用户提供的内容或广告的网站。这些网站可能包含可以利用此漏洞的特制内容。但是在所有情况下,攻击者无法强制用户查看由攻击者控制的内容。相反,攻击者必须诱使用户采取行动,方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接以使用户链接到攻击者的网站,或者让用户打开通过电子邮件发送的附件。

对于 ASP.NET MVC 2、ASP.NET MVC 3、ASP.NET MVC 4、ASP.NET MVC 5 和 APS.NET MVC 5.1,此安全更新的等级为“重要”。该安全更新通过更正 ASP.NET MVC 处理输入编码的方式来解决漏洞。

建议。 Microsoft 建议客户尽早安装此安全更新。在某些情况下,启用了自动更新的客户不需要采取任何行动,因为此安全更新将自动下载并安装。如果满足以下两个条件中任何一个,将向启用了自动更新的系统提供该更新:

已安装 MVC 2.0、MVC 3.0 或 MVC 4.0,或者
系统正在运行 Microsoft .NET Framework 4.5.1,并且之前已加载具有受影响的组件(例如适用于 ASP.NET MVC 2.0、3.0、4.0、5.0 和 5.1 的 System.Web.Mvc.dll)的应用程序。

禁用自动更新并且其系统满足任一条件的客户也可以通过使用 Microsoft Update 服务检查更新来获取更新。其系统不满足任一条件的客户(或无法确定是否满足任一条件的客户)应使用本公告的“受影响的软件”表中提供的 Microsoft 下载中心链接手动下载并安装更新。有关自动更新中的特定配置选项的信息,请参阅 Microsoft 知识库文章 294871。对于未启用了自动更新的客户,可以使用打开或关闭自动更新中的的步骤启用自动更新。

运行 MVC 3.0、MVC 4.0、MVC 5.0 或 MVC 5.1 的客户还可以选择手动部署更新的 NuGet 程序包,如本公告的“安全更新部署”部分所详述。请注意,对其服务器没有控制权并且需要修补其应用程序的客户需要在下载和安装更新的 NuGet 程序包之后重新部署其应用程序。有关 .NET NuGet 服务支持的详细信息,请参阅 .NET 4.5.1 支持 NET NuGet 库的 Microsoft 安全更新。

English Version
http://technet.microsoft.com/en-us/security/bulletin/ms14-059

简体中文版
http://technet.microsoft.com/zh-cn/security/bulletin/MS14-059

 

Back Top

Responses to “MS14-059 Vulnerability in ASP.NET MVC Could Allow Security Feature Bypass (2990942)”

Comments (0) Trackbacks (0) Leave a comment Trackback url
  1. No comments yet.
  1. No trackbacks yet.

Back Top

Leave a Reply