按 Enter 到主內容區
:::

TWCERT-電子報

:::

.NET Framework 中的資訊安全風險可能會允許權限提高

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2019-03-28
  • 點閱次數:182

CVE編號

CVE-2014-0253、CVE-2014-0257、CVE-2014-0295

內文

這個資訊安全更新可解決 Microsoft .NET Framework 中兩項公開揭露的資訊安全風險和一項未公開報告的資訊安全風險。如果使用者造訪蓄意製作的網站或含有蓄意製作網頁內容的網站,則最嚴重的資訊安全風險可能會允許權限提高。但是,攻擊者無法強迫使用者造訪這類網站, 而一般的做法是讓使用者點選電子郵件訊息或 Instant Messenger 訊息中連往攻擊者網站的連結,以引誘使用者造訪受影響的網站。

此資訊安全更新會修正 Microsoft .NET Framework 終止由用戶端啟動且失效或關閉之 HTTP 要求的方式、改善 Microsoft .NET Framework 認定方法安全可執行的方式,並確保 Microsoft .NET Framework 適當實作位址空間隨機載入 (ASLR),進而解決上述資訊安全風險。

影響產品

Microsoft .NET Framework 1.0 Service Pack 3、Microsoft .NET Framework 1.1 Service Pack 1、Microsoft .NET Framework 2.0 Service Pack 2、Microsoft .NET Framework 3.5、Microsoft .NET Framework 3.5.1、Microsoft .NET Framework 4、Microsoft .NET Framework 4.5 和 Microsoft .NET Framework 4.5.1

解決辦法

此資訊安全更新會修正 Microsoft .NET Framework 終止由用戶端啟動且失效或關閉之 HTTP 要求的方式、改善 Microsoft .NET Framework 認定方法安全可執行的方式,並確保 Microsoft .NET Framework 適當實作位址空間隨機載入 (ASLR),進而解決上述資訊安全風險。
回頁首