发布日期：2011-06-15
更新日期：2011-06-16

受影响系统：

Microsoft .NET Framework 4.x
Microsoft .NET Framework 3.x
Microsoft .NET Framework 2.x

不受影响系统：

Microsoft .NET Framework 4.0 beta 2

描述：

---

BUGTRAQ  ID: 47834
CVE ID: CVE-2011-1271

.NET Framework是用于Windows的新托管代码编程模型。

Microsoft .NET Framework在实现上存在JIT编译器优化NULL字符串远程代码执行漏洞，远程攻击者可利用此漏洞执行任意代码。

此漏洞源于.NET JIT编译器错误地验证了对象中的某些值，通过诱使用户访问带有XBAP的特制网站加以利用。

<*来源：Brian Mancini
  
  链接：http://www.microsoft.com/technet/security/bulletin/MS11-044.asp
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

if ((value == null || value == new string[0]) == false)

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS11-044）以及相应补丁:

MS11-044：Vulnerability in .NET Framework Could Allow Remote Code Execution (2538814)

链接：http://www.microsoft.com/technet/security/bulletin/MS11-044.asp

浏览次数：2622
严重程度：0（网友投票）