在本月的「Patch Tuesday」例行更新中,
Microsoft 一口氣修補了 172 項安全漏洞,其中包含八項「重大(Critical)」與六項零日漏洞。然而,最引人關注的,莫過於被微軟內部安全團隊評為 ASP.NET Core 歷來最高嚴重等級的漏洞:CVE-2025-55315,以及隨後引發的 Windows localhost 連線中斷問題。這兩起事件不僅揭示資安防護與系統穩定間的張力,也再次提醒開發者與系統管理員:更新不是終點,而是新的風險管理起點。
史上最嚴重的 ASP.NET Core 漏洞:CVE-2025-55315
CVE-2025-55315 是一個出現在 Kestrel ASP.NET Core Web Server 的 HTTP Request Smuggling 漏洞,允許經過身份驗證的攻擊者在合法請求中夾帶惡意 HTTP 要求,進而竊取其他使用者的憑證、修改伺服器上的檔案內容,甚至造成服務中斷。
微軟在公告中指出:「成功利用此漏洞的攻擊者,可能讀取其他使用者的敏感資訊、改變檔案內容,甚至觸發伺服器崩潰。」
針對不同環境,Microsoft 建議開發者與使用者採取以下防護措施:
- .NET 8 或更新版本:透過 Microsoft Update 安裝更新後重啟應用或系統。
- .NET 2.3 系列:更新 Microsoft.AspNet.Server.Kestrel.Core 至 2.3.6,重新編譯並部署。
- 自包含(Single-file)應用:安裝更新後重新編譯與部署。
同時,Microsoft 也釋出針對 Visual Studio 2022、ASP.NET Core 2.3、8.0、9.0 等版本的安全修補,並更新 Kestrel.Core 套件以支援舊版架構。
.NET 資安技術計畫經理 Barry Dorrans 指出,實際攻擊效果取決於開發者如何撰寫應用邏輯,但在最壞情境下,攻擊者可能利用此漏洞繞過身份驗證、發動 CSRF 或 SSRF 攻擊。Dorrans 強調,「我們以最壞情境評分,因為若應用程式缺乏基本檢查,漏洞將構成安全功能繞過(Security Feature Bypass)風險。雖然機率不高,但請務必更新。」
Windows 更新又引發連線錯誤風暴
然而,在修補漏洞的同時,部分使用者卻因更新遭遇 HTTP/2 localhost(127.0.0.1)連線中斷問題。此錯誤影響範圍包括 Windows 11 與 Windows Server 2025,導致 IIS 網站無法載入,Visual Studio 偵錯與 SSMS Entra ID 認證等功能出現「ERR_CONNECTION_RESET」或「ERR_HTTP2_PROTOCOL_ERROR」。
微軟確認此問題與 HTTP.sys 元件中的錯誤有關,觸發條件可能包括更新時機、裝置重啟與網路狀態。官方已透過 Known Issue Rollback(KIR)自動回滾修復非受管裝置,企業環境則可透過群組原則(Group Policy)手動部署暫時修正方案,直到永久修補釋出。
安全與穩定的拉鋸:更新生態的兩難
從「史上最嚴重的 ASP.NET Core 漏洞」到「更新引發 localhost 錯誤」的連鎖效應,這場事件反映出企業在維護安全與系統穩定間的兩難處境。隨著 Microsoft 不斷加速雲端與本地端整合,任何一項核心元件(如 Kestrel、HTTP.sys)的變動,都可能在不同應用場景下引發不可預期的相依性問題。
資安專家建議,開發與 IT 團隊應:
- 建立測試更新的預備環境,避免直接在生產系統套用大型修補。
- 監控 KIR(Known Issue Rollback)與官方 KB 通知,追蹤修補後效應。
- 確保 CI/CD 流程中含安全測試與模擬請求驗證,減少因應用邏輯缺陷放大漏洞影響。
Microsoft 十月的安全更新揭示出一個關鍵訊息:修補不只是防禦,而是韌性管理的一部分。無論是企業還是個人開發者,面對愈趨複雜的軟體生態與相依架構,唯有持續更新、驗證與回報,才能在「安全」與「穩定」的兩端之間,找到真正的平衡點。