TACERT台灣學術網路危機處理中心

※安全通報資訊

安全通報類型	微軟安全通報
發佈日期	2011-10-12
標題	Microsoft Security Bulletin MS11-078 - 緊急
CVE	CVE-2011-1253
BID
影響平台	Windows XP Windows Server 2003 Windows Vista Windows Server 2008 Windows 7
說明	這個資訊安全更新可解決 Microsoft .NET Framework 和 Microsoft Silverlight 中一項未公開報告的資訊安全風險。如果使用者使用可執行 XAML 瀏覽器應用程式 (XBAP) 或 Silverlight 應用程式的網頁瀏覽器來檢視蓄意製作的網頁，此資訊安全風險可能會允許在用戶端系統上遠端執行程式碼。系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。如果伺服器允許處理 ASP.NET 網頁，且攻擊者將蓄意製作的 ASP.NET 網頁成功上傳到執行 IIS 的伺服器系統並加以執行，則這些資訊安全風險也可能會允許在該伺服器系統上遠端執行程式碼 (網站代管可能會發生這種情況)。Windows .NET 應用程式也可能使用這個資訊安全風險，以略過程式碼存取安全性 (CAS) 限制。對於所有支援的 Microsoft Windows 版本上的 Microsoft .NET Framework 1.0 Service Pack 3、Microsoft .NET Framework 1.1 Service Pack 1、Microsoft .NET Framework 2.0 Service Pack 2、Microsoft .NET Framework 3.5.1 和 Microsoft .NET Framework 4，以及 Microsoft Silverlight 4，此資訊安全更新的等級為「重大」。此資訊安全更新可修正 .NET Framework 限制類別內繼承的方式，進而解決此資訊安全風險。
解決方式	大部分客戶都已啟用自動更新，並且不必須採取任何行動，因為資訊安全更新將自動下載和安裝。沒有啟用自動更新的客戶則必須檢查更新，並手動安裝更新。
相關資訊連結	http://technet.microsoft.com/zh-tw/security/bulletin/ms11-078.mspx
相關修正資訊連結