マイクロソフト セキュリティ情報 MS11-100 - 緊急 : .NET Framework の脆弱性により、特権が昇格される (2638420)(情報元のブックマーク数)
MS11-100が出ていました。年末に気づいていたけど更新忘れ。
- MS11-100でキーワード作成済み
このセキュリティ更新プログラムは、Microsoft .NET Framework における、1 件の公式に公開された脆弱性と、3 件の非公式に報告された脆弱性を解決します。 これらの脆弱性で最も深刻なのは、非認証の攻撃者が特別に細工された Web の要求を標的のサイトに送った場合に特権の昇格が許可されるということにあります。 この脆弱性の悪用に成功した攻撃者は、任意のコマンドの実行を含む、ASP.NET サイトに実際に存在するアカウントを使用したあらゆるアクションを行うことができます。 この脆弱性を悪用するためには、攻撃者は実際に存在するユーザー名で、ASP.NET に登録できるようになる必要があります。
Microsoft Security Bulletin MS11-100 - Critical | Microsoft Docs
このセキュリティ更新プログラムは、すべてのサポートされたエディションの Microsoft Windows 上の、Microsoft .NET Framework 1.1 Service Pack 1、Microsoft .NET Framework 2.0 Service Pack 2、Microsoft .NET Framework 3.5 Service Pack 1、Microsoft .NET Framework 3.5.1、およびMicrosoft .NET Framework 4 で「緊急」に格付けされています。 詳細については、このセクションの「影響を受けるソフトウェアと影響を受けないソフトウェア」をご覧ください。
このセキュリティ更新プログラムは、.NET Framework が特別に細工された要求をハンドルする方法と、ASP.NET Framework がユーザーを認証し、キャッシュされたコンテンツをハンドルする方法を変更することで脆弱性を修正します。この脆弱性の詳細情報は、次の「脆弱性の情報」のセクションにある特定の脆弱性に関するサブセクション「よく寄せられる質問 (FAQ)」をご覧ください。
関連URL
- マイクロソフト、緊急のセキュリティ更新プログラムを公開 | スラッシュドット・ジャパン セキュリティ
- セキュリティ アドバイザリ (2659883) の脆弱性を解決する MS11-100 を定例外で公開 - 日本のセキュリティチーム - Site Home - TechNet Blogs
- セキュリティ アドバイザリ 2659883 の問題を解決するセキュリティ更新の事前通知 (定例外) - 日本のセキュリティチーム - Site Home - TechNet Blogs
- Web アプリケーションがサービス拒否となる脆弱性に関するアドバイザリ 2659883 を公開 - 日本のセキュリティチーム - Site Home - TechNet Blogs
- ASP.NET security update is live! - Security Research & Defense - Site Home - TechNet Blogs
- ASP.NET Security Update Shipping Thursday, Dec 29th - ScottGu's Blog
- More information about the December 2011 ASP.Net vulnerability - Security Research & Defense - Site Home - TechNet Blogs
- Microsoft Releases Out of Band Update Before Year Ends | Malware Blog | Trend Micro
- CVE-2011-3414,CVE-2011-3415,CVE-2011-3416,CVE-2011-3417 | Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2638420) | Trend Micro Threat Encyclopedia
- ASP.NET Holiday Patches - Securelist
- 2012 年 1 月のセキュリティ情報 (月例) - 日本のセキュリティチーム - Site Home - TechNet Blogs
- ISC Diary | ASP.Net Vulnerability
- ISC Diary | MS11-100 DoS PoC exploit published
- Microsoftなど、年末に臨時アップデートを公開 「ハッシュ衝突」の脆弱性に対処 - ITmedia エンタープライズ