Página principal
| Foro de MundoPC.NET Foros de ayuda | Mapa Web Mapa del sitio  
 | ¡Intercambio de enlaces! |
¿Qué opinas?

¿Qué sistema móvil usas?

Ver resultados

Loading ... Loading ...
Archivos

Microsoft publica un boletín de seguridad para ASP.NET fuera de ciclo


Microsoft acaba de publicar el boletín de seguridad MS10-070 de carácter  importante, en el que se soluciona una vulnerabilidad en ASP.NET. Aunque  la vulnerabilidad no se considera crítica Microsoft publica esta  actualización con carácter de urgencia debido a la importancia de la  plataforma .net y la importancia del problema al permitir obtener  información sensible del servidor.
Microsoft no suele publicar boletines fuera de ciclo para  vulnerabilidades que no se consideren críticas, esto es, que permitan el  compromiso de sistemas remotos y que además estén siendo aprovechadas  por atacantes. Pero en esta ocasión, el problema afecta a millones de  sitios web que hacen uso de las funciones de cifrado AES incluidas en  ASP.NET para proteger la integridad de datos, como las cookies, durante  las sesiones de usuario. Además estos datos de sesiones se usan en  aplicaciones web de gran importancia como banca online, venta on-line  y en general cualquier sitio web que precise de un login para  identificarse. Todo esto ha convertido una vulnerabilidad de revelación  de información (importante según la clasificación de Microsoft) en un  problema especialmente preocupante.

La vulnerabilidad afecta a Microsoft. NET Framework v1.0 SP3, v1.1 SP1,  v2.0 SP2, v3.5, v3.5 SP1, v3.5.1 y v4.0, para ASP.NET en Microsoft  Internet Information Services (IIS). El problema reside en un error  al mostrar errores en ASP.NET. Un atacante remoto podría obtener  información sensible (datos cifrados por el servidor) a través de  múltiples peticiones que causen errores.

Entre los posibles efectos se cuentan el descifrar y modificar el View  State (__VIEWSTATE), los datos del formulario y, posiblemente cookies o  leer archivos de la aplicación, a través de un ataque “padding oracle  attack”. El objeto ViewState se cifra y envía al cliente en una variable  oculta, pero un atacante podría acceder a su contenido descifrado.

De esta forma, muchos de los efectos podrán depender de la propia  aplicación ASP.Net. Por ejemplo, si la aplicación almacena información  sensible, como contraseñas o cadenas de conexión a bases de datos, en el  objeto ViewState estos datos podrían verse comprometidos.

Como es habitual, la actualización publicada puede descargarse a través  de Windows Update o consultando el boletín de Microsoft donde se  incluyen las direcciones de descarga directa de cada parche. Dada la  gravedad de la vulnerabilidad se recomienda la actualización de los  sistemas afectados con la mayor brevedad posible.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4357/comenta…

Más información:

Microsoft Security Bulletin MS10-070 – Important
Vulnerability in ASP.NET Could Allow Information Disclosure (2418042)
http://www.microsoft.com/technet/security/bul…

Fear, uncertainty and the padding oracle exploit in ASP.NET
http://www.troyhunt.com/2010/09/fear-uncertai…

Understanding the ASP.NET Vulnerability
http://blogs.technet.com/b/srd/archive/2010/0…

Security researchers ‘destroy’ Microsoft ASP.NET security
http://www.theinquirer.net/inquirer/news/1732…

Antonio Ropero
antonior[antonior arroba hispasec.com]

Fuente: http://hispasec.com

Related Posts Plugin for WordPress, Blogger...
Actualizado el 29 septiembre 2010 - 12:03

Deja un comentario

Suscríbete

Recibe nuestro boletín

Escribe tu correo electrónico

¿Tienes dudas? Haz clic aquí

Visítanos en facebook Visítanos en twitter Suscríbete a nuestro Feed

Enlaces

¿Quieres intercambiar un enlace con MundoPC.NET ?

Haz clic en el botón y averigua cómo

MundoPC.NET
Cursos