微軟緊急修補ASP.NET的雜湊函數漏洞

在2011年12月底，微軟緊急釋出包括針對雜湊函數（Hash Table）衝突（Collisions）問題，導致DoS阻斷式攻擊的關鍵性（Critical）漏洞。這個名為MS11-100的漏洞修補，也是微軟在2011年時第100個修補的漏洞。

根據微軟資安技術中心（Security TechCenter）的說明，這個關鍵漏洞存在現有ASP.NET的框架中，因為漏洞細節已被公開，微軟才進行緊急修補。

這個關鍵漏洞存在ASP.NET的雜湊函數中，當資料在不同的雜湊函數表中，卻得出相同的雜湊函數表，就會發生雜湊函數的衝突，並會弱化這些雜湊函數表效能，也會對系統的請求（Request）執行造成DoS的資安風險。這個漏洞不只影響到ASP.NET，包括PHP和Ruby都同樣被影響。

微軟表示，駭客必須先取得ASP.NET程式的使用帳號，再利用這個漏洞來擴張使用帳號的權限，並藉此執行各種駭客想執行的命令。由於這個漏洞影響到所有版本的ASP.NET框架，從.NET 1.1到.NET 4.0都在影響的範圍中。微軟表示，目前各種版本的微軟作業系統，都會自動修補這個漏洞，若關閉自動修補功能者，微軟建議企業應該手動進行修補。文⊙黃彥棻