Microsoft acaba de publicar el boletín de seguridad MS10-070 con carácter importante, en el que se soluciona una vulnerabilidad en ASP.NET. Aunque la vulnerabilidad no es crítica Microsoft publica esta actualización con carácter de urgente debido a la importancia de la plataforma .net y la importancia del problema al permitir obtener información sensible del servidor.
Microsoft no suele publicar boletines fuera de ciclo para vulnerabilidades que no se consideren críticas, pero en esta ocasión, el problema afecta a millones de sitios web que hacen uso de las funciones de cifrado AES incluidas en ASP.NET para proteger la integridad de datos. Además estos datos de sesiones se usan en aplicaciones web de gran importancia como banca online, venta on-line y en general cualquier sitio web que precise de un login para identificarse.
La vulnerabilidad afecta a Microsoft. NET Framework v1.0 SP3, v1.1 SP1, v2.0 SP2, v3.5, v3.5 SP1, v3.5.1 y v4.0, para ASP.NET en Microsoft Internet Information Services (IIS). El problema existe en una falla al mostrar errores en ASP.NET. Un atacante remoto podría obtener información sensible (datos cifrados por el servidor) a través de múltiples peticiones que causen errores.
Como es costumbre la actualización publicada puede descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4357/comentar
No hay comentarios:
Publicar un comentario