R8X-VIBE



 
AcasaPortalCautareMembriInregistrareConectare

Distribuiti | 
 

 Microsoft confirma o vulnerabilitate zero-day in ASP.NET

Vezi subiectul anterior Vezi subiectul urmator In jos 
AutorMesaj
Digitalboy
ADMINISTRATOR
ADMINISTRATOR
avatar

Mesaje : 1394
Data de inscriere : 11/03/2010

MesajSubiect: Microsoft confirma o vulnerabilitate zero-day in ASP.NET   Joi Sept 23, 2010 2:58 am

Microsoft e emis un avertisment de securitate, confirmand o exploatare a unei vulnerabilitati nerezolvate ce afecteaza aplicatiile web construit in ASP.NET.


Exploatarea acestei vulnerabilitati ar putea permite atacatorilor sa vizualizeze date, precum View State, care a fost criptat de catre serverul tinta, sau pentru a citi date din fisiere de pe serverul tintit, precum web.config, a spus Microsoft.

Aceasta ar permite atacatorului sa corupa continutul datelor si, prin trimiterea inapoi a continutului modificat catre serverul afectat, atacatorul ar putea observa erorile de cod returnate de server, se spune in buletinul de securitate.


Microsoft a precizat ca are cunostinta despre cateva atacuri active limitate ce exploateaza o scapare din modul cum framework-ul de dezvoltare aplicatii web ASp.NET implementeaza criptarea AES.
Vulnerabilitatea a fost dezvaluita saptamana trecuta de cercetatorii in securitate in cazul unei conferinte hacking din Buenos Aires.

Impactul vulnerabilitatii ar putea fi foarte mare, avand in vedere ca aplicatiile construite in ASP.NET sunt larg rapandite, spun expertii in securitate.
Microsoft si-a actualizat buletinul inital de securitate pentru a include intrebari si raspunsuri despre vulnerabilitate, a spus Dave Forstrom, director al Trustworthy Computing din cadrul Microsoft, intr-o postare blog.

Compania lucreaza la un update de securitate care sa rezolve vulnerabilitatea, insa a publicat o solutie temporara in buletinul de securitate.
Microsoft sugereaza activarea functiei customErrors din ASp.NET pentru a configura aplicatiile sa returneze intotdeauna o pagina de eroare, indiferent de erorile ce apar pe un server, a spus compania.

Gigantul sooftware a precizat ca ar putea oferi un update de securitate in cadrul ciclului sau lunar de emitere de update-uri de securitate Patch Tuesday sau sa lanseze un update de securitate out-of-cycle, in functie de necesitatile clientilor.
Sus In jos
Vezi profilul utilizatorului http://r8x-vibe.forumz.ro
 
Microsoft confirma o vulnerabilitate zero-day in ASP.NET
Vezi subiectul anterior Vezi subiectul urmator Sus 
Pagina 1 din 1
 Subiecte similare
-
» Internet Explorer devine din ce in ce mai popular

Permisiunile acestui forum:Nu puteti raspunde la subiectele acestui forum
R8X-VIBE :: IT Zone :: Windows-
Mergi direct la: