微软昨天在ASP.NET上发布了
out of band release to fix the security flaw.
解决方法
变化的一个很好的总结来自
http://musingmarc.blogspot.com/2010/09/ms10-070-post-mortem-analysis-of-patch.html
>不要泄露异常信息 – 这样可以防止漏洞看到什么被破坏.>不要在填充检查上短路(花费相同的时间来填充正确的填充损坏) – 这样可以防止漏洞看到错误填充的时序差异.>在IHttpHandler.ProcessRequest中不要太挑剔异常捕获 – 这样可以防止漏洞看到您遇到了一种异常(CryptographicException)而不是所有异常.>从基于哈希的初始化向量切换到随机IV – 这样可以防止利用数据和散列之间的关系更快地解密.>允许向后兼容性 – 如果这种情况发生了某些事情,则允许新行为部分恢复.>在进行代码审查通行证时,更改以清楚您已考虑过新的选项.@H_403_3@