ASP.NET重大漏洞，錯誤訊息恐洩漏加密金鑰

微軟在9月17日發布安全公告表示，ASP.NET的加解密機制出現重大資安漏洞，可以讓惡意人士反覆透過網站回應的錯誤資訊，來推算出加密金鑰（MachineKey），進而用管理員身分來使用網站或修改網站的狀態資訊，甚至在ASP.NET 3.5 SP1以上版本中，惡意人士還能透過這個漏洞取得網站應用程式的內部檔案，例如可以取得網站核心設定的web.comfig檔。影響範圍包括ASP.NET 1.0版到4.0版。目前微軟還未推出修補程式，不過，微軟提供了一個檢測程式，可以讓網站主檢查應用程式是否出現這項漏洞。

微軟開發者部門副總裁Scott Guthrie指出，目前最快的修補方式是調整網站回傳錯誤訊息的方式，啟用屬性，設定唯一一個錯誤訊息網頁，發生任何錯誤訊息時都回傳同一個沒有敏感資訊的固定網頁，讓惡意人士無法透過嘗試猜測來破解網站金鑰。文⊙王宏仁


微軟開發者部門副總裁Scott Guthrie提醒網站主，盡快開啟ASP.NET的屬性，避免惡意人士不斷嘗試網站錯誤訊息而猜出加密金鑰。