TACERT台灣學術網路危機處理中心

※安全通報資訊

安全通報類型	微軟安全通報
發佈日期	2014-10-14
標題	Microsoft 資訊安全公告 MS14-059 - 重要-ASP.NET MVC 中的資訊安全風險可能會允許資訊安全功能略過
CVE	CVE-2014-2814
BID
影響平台	對於 ASP.NET MVC 2、ASP.NET MVC 3、ASP.NET MVC 4、ASP.NET MVC 5 和 APS.NET MVC 5.1，此資訊安全更新的等級為「重要」。
說明	這個資訊安全更新可解決 ASP.NET MVC 中一項公開揭露的資訊安全風險。如果攻擊者設法讓使用者按下蓄意製作的連結，或造訪含有為利用此資訊安全風險而設計之蓄意製作內容的網頁，這個資訊安全風險可能會允許資訊安全功能略過。在網頁式攻擊案例中，攻擊者可能架設一個為了透過網頁瀏覽器利用此資訊安全風險而蓄意製作的網站，然後引誘使用者檢視該網站。攻擊者也可能利用受侵害的網站，以及接受或裝載使用者提供內容或廣告的網站。這些網站可能含有經過蓄意製作並利用此資訊安全風險的內容。但是，攻擊者無法強迫使用者檢視受攻擊者控制的內容，而是引誘使用者自行前往。一般的做法是設法讓使用者點選電子郵件訊息或 Instant Messenger 中通往攻擊者網站的連結，或設法讓他們開啟經由電子郵件傳送的附件。此資訊安全更新可藉由修正 ASP.NET MVC 處理輸入編碼的方式，來解決此資訊安全風險。
解決方式	Microsoft 建議客戶應該儘快安裝此資訊安全更新。在某些情況下，已啟用自動更新的客戶無需採取任何行動，因為資訊安全更新將自動下載和安裝。如果符合以下兩個條件的其中一項，將會提供更新給已啟用自動更新的系統： ● 安裝了 MVC 2.0、MVC 3.0 或 MVC 4.0，或 ●系統執行 Microsoft .NET Framework 4.5.1，且先前已載入含有受影響元件 (適用於 ASP.NET MVC 2.0、3.0、4.0、5.0 和 5.1 的 System.Web.Mvc.dll) 的應用程式停用自動更新的客戶，如其系統符合其中一項條件，也可以使用 Microsoft Update 服務，透過檢查更新功能取得更新。本身系統不符合任何一項條件的客戶 (或不確定是否為這種情況的客戶)，應透過 Microsoft 下載中心連結 (於本公告的＜受影響軟體＞表中提供) 手動下載並安裝更新。如需有關自動更新中特定設定選項的資訊，請參閱 Microsoft 知識庫文件編號 294871。對於沒有啟用自動更新的客戶，可採取開啟或關閉自動更新中的步驟來啟用自動更新。執行 MVC 3.0、MVC 4.0、 MVC 5.0 或 MVC 5.1 的客戶，也可以選擇手動部署更新的 NuGet 套件，如本公告＜資訊安全更新部署＞一節中所詳述。請注意，沒有本身伺服器控制權但需要修補應用程式的客戶，需要在下載與安裝更新的 NuGet 套件後重新部署應用程式。如需關於 .NET NuGet 服務支援的詳細資訊，請參閱 .NET 4.5.1 支援 .NET NuGet 程式庫的 Microsoft 資訊安全更新。
相關資訊連結	https://technet.microsoft.com/zh-TW/library/security/ms14-059.aspx
相關修正資訊連結	https://technet.microsoft.com/zh-TW/library/security/ms14-059.aspx