TACERT台灣學術網路危機處理中心

※安全通報資訊

安全通報類型	微軟安全通報
發佈日期	2013-01-09
標題	Microsoft Security Bulletin MS13-004 - 重要-.NET Framework 中的資訊安全風險可能會允許權限提高
CVE	CVE-2013-0001;CVE-2013-0002;CVE-2013-0003;CVE-2013-0004
BID
影響平台	對於所有受支援版本之 Microsoft Windows 上的 Microsoft .NET Framework 1.0 Service Pack 3、Microsoft .NET Framework 1.1 Service Pack 1、Microsoft .NET Framework 2.0 Service Pack 2、Microsoft .NET Framework 3.5、Microsoft .NET Framework 3.5.1、Microsoft .NET Framework 4 和 Microsoft .NET Framework 4.5，此資訊安全更新的等級為「重要」。對於 Microsoft .NET Framework 3.0 Service Pack 2，此資訊安全更新無嚴重性等級。
說明	此資訊安全更新可解決 .NET Framework 中四項未公開報告的資訊安全風險。如果使用者使用可執行 XAML 瀏覽器應用程式 (XBAP) 的網頁瀏覽器檢視蓄意製作的網頁，其中最嚴重的資訊安全風險可能會允許權限提高。Windows .NET 應用程式也可能會使用這些資訊安全風險，以略過程式碼存取安全性 (CAS) 限制。成功利用這些資訊安全風險的攻擊者可以取得與登入使用者相同的使用者權限。系統上帳戶使用者權限較低的使用者，其受影響的程度比擁有系統管理權限的使用者要小。此資訊安全更新可修正 .NET Framework 初始化記憶體陣列、複製記憶體中物件、在複製記憶體中物件之前驗證陣列大小，以及驗證物件權限等作業的方式，以解決這些資訊安全風險。
解決方式	大部分客戶都已啟用自動更新，並且不必須採取任何行動，因為資訊安全更新將自動下載和安裝。沒有啟用自動更新的客戶則必須檢查更新，並手動安裝更新。
相關資訊連結	http://technet.microsoft.com/zh-tw/security/bulletin/ms13-004
相關修正資訊連結	http://technet.microsoft.com/zh-tw/security/bulletin/ms13-004