微軟緊急修補.NET框架漏洞

微軟上周四（12/29）緊急釋出MS11-100重大更新，以修補.NET框架（.NET Framework）的4個安全漏洞，此次的緊急更新是因其中一個漏洞已被公開。

兩名德國研究人員Alexander Klink與Julian Walde上周三（12/28）在柏林舉行的Chaos Communication Congress駭客會議上描述如何攻破網站框架所使用的雜湊表（hash-table）資料架構，以拖慢雜湊表的運作或是讓伺服器耗費數分鐘或數小時來處理，而導致阻斷式服務。相關的攻擊不限任何語言或作業系統，並殃及多種網站框架，涵蓋.NET、PHP、Java，而Python與Ruby也受到部份影響。

nCircle安全運作總監Andrew Storms表示，這並非一般的阻斷式服務攻擊，大多數的阻斷式服務攻擊是利用大量的小型請求使得一個網站無法運作，但在此一案例中，只透過一個單一的請求就會花掉90秒，有數個請求就會需要更長的時間，最終會讓網站停擺。

微軟安全回應中心說明，此一漏洞允許任何匿名的駭客耗盡網站的所有CPU資源，不論是單一網站或是叢集網站都受到該漏洞的影響。

根據微軟的說明，在這4個漏洞中最嚴重的可能導致權限擴張，當駭客傳遞一個特殊請求到特定ASP.NET網站時，若駭客已取得既有帳號，就能採取包括執行命令等任何動作。只是駭客若要利用該漏洞進行攻擊，必須先在ASP.NET網站註冊一個帳號，也必須先取得既有的使用者名稱。（編譯/陳曉莉）