elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Microsoft publica un boletín de seguridad para ASP.NET fuera de ciclo
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Microsoft publica un boletín de seguridad para ASP.NET fuera de ciclo  (Leído 1,391 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
Microsoft publica un boletín de seguridad para ASP.NET fuera de ciclo
« en: 30 Septiembre 2010, 00:50 am »

Microsoft acaba de publicar el boletín de seguridad MS10-070 de carácter importante, en el que se soluciona una vulnerabilidad en ASP.NET. Aunque la vulnerabilidad no se considera crítica Microsoft publica esta actualización con carácter de urgencia debido a la importancia de la plataforma .net y la importancia del problema al permitir obtener información sensible del servidor.

Microsoft no suele publicar boletines fuera de ciclo para vulnerabilidades que no se consideren críticas, esto es, que permitan el compromiso de sistemas remotos y que además estén siendo aprovechadas por atacantes. Pero en esta ocasión, el problema afecta a millones de sitios web que hacen uso de las funciones de cifrado AES incluidas en ASP.NET para proteger la integridad de datos, como las cookies, durante las sesiones de usuario. Además estos datos de sesiones se usan en aplicaciones web de gran importancia como banca online, venta on-line y en general cualquier sitio web que precise de un login para identificarse. Todo esto ha convertido una vulnerabilidad de revelación de información (importante según la clasificación de Microsoft) en un problema especialmente preocupante.

La vulnerabilidad afecta a Microsoft. NET Framework v1.0 SP3, v1.1 SP1, v2.0 SP2, v3.5, v3.5 SP1, v3.5.1 y v4.0, para ASP.NET en Microsoft Internet Information Services (IIS). El problema reside en un error al mostrar errores en ASP.NET. Un atacante remoto podría obtener información sensible (datos cifrados por el servidor) a través de múltiples peticiones que causen errores.

Entre los posibles efectos se cuentan el descifrar y modificar el View State (__VIEWSTATE), los datos del formulario y, posiblemente cookies o leer archivos de la aplicación, a través de un ataque "padding oracle attack". El objeto ViewState se cifra y envía al cliente en una variable oculta, pero un atacante podría acceder a su contenido descifrado.

De esta forma, muchos de los efectos podrán depender de la propia aplicación ASP.Net. Por ejemplo, si la aplicación almacena información sensible, como contraseñas o cadenas de conexión a bases de datos, en el objeto ViewState estos datos podrían verse comprometidos.

Como es habitual, la actualización publicada puede descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de la vulnerabilidad se recomienda la actualización de los sistemas afectados con la mayor brevedad posible.


Antonio Ropero
 antonior@hispasec.com

FUENTE :http://www.hispasec.com/unaaldia/4357


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines