MS12-025与XBAP:不再构成“路过式”威胁的技术解析

本文详细分析了MS12-025安全公告中修复的.NET Framework代码执行漏洞,重点说明XBAP攻击机制的变化及MS11-044更新引入的互联网区域安全提示防护机制。

MS12-025与XBAP:不再构成“路过式”威胁

今日发布的安全公告MS12-025修复了.NET Framework中的一个代码执行漏洞。攻击者可通过构建恶意XBAP应用程序,诱骗受害者访问托管该XBAP的恶意网站来利用此漏洞。

好消息是,在已安装MS11-044(2011年6月发布)的工作站上,来自互联网的零点击“路过式”攻击已不再可行。MS11-044为所有从互联网区域遇到的XBAP引入了额外的安全提示。示例如下(经编辑):

[安全提示对话框示意图]

我们建议除非您了解并信任安全对话框中列出的发布者,否则不要允许XBAP运行。如果您不需要使用此功能,安全公告概述了按区域禁用Internet Explorer中XAML浏览器应用程序的步骤。

  • Jonathan Ness, MSRC工程团队

相关技术标签:.NET Framework、攻击向量、XBAP

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次