微軟安全響應中心今天中午發布最新安全預警，提醒廣大(dà)ASP.NET用(yòng)戶防範一處新安全漏洞。攻擊者可(kě)利用(yòng)存在于ASP.NET加密模塊的(de)一處最新漏洞訪問到(dào)包括web.config在内的(de)任何文(wén)件(jiàn)，此漏洞存在于ASP.NET所有(yǒu)已發布的(de)版本中，其影響程度不容小(xiǎo)視。目前尚無補丁發布，請廣大(dà)開(kāi)發和(hé)維護人(rén)員加強防範。

　　據悉，ASP.Net 加密模塊中新公開(kāi)的(de)漏洞可(kě)使攻擊者解密并篡改任意加密數據。如(rú)果 ASP.Net 應用(yòng)程序使用(yòng)的(de)是 ASP.Net 3.5 SP1 或更高(gāo)版本，攻擊者可(kě)以使用(yòng)此加密漏洞請求 ASP.Net 應用(yòng)程序中的(de)任意文(wén)件(jiàn)的(de)内容。 網絡上(shàng)一些已流傳開(kāi)的(de)攻擊案例顯示出攻擊者可(kě)以利用(yòng)該加密漏洞獲取 web.config 文(wén)件(jiàn)的(de)内容。 實際上(shàng)一旦攻擊者獲取了web應用(yòng)程序worker process的(de)訪問權限, 他(tā)即有(yǒu)權訪問的(de)應用(yòng)程序中的(de)任意文(wén)件(jiàn)。

　　有(yǒu)關該漏洞的(de)詳細信息，請訪問: http://www.microsoft.com/technet/security/advisory/2416728.mspx