Microsoft e emis un avertisment de securitate, confirmand o exploatare a unei vulnerabilitati nerezolvate ce afecteaza aplicatiile web construit in ASP.NET.
Exploatarea acestei vulnerabilitati ar putea permite atacatorilor sa vizualizeze date, precum View State, care a fost criptat de catre serverul tinta, sau pentru a citi date din fisiere de pe serverul tintit, precum web.config, a spus Microsoft.
Aceasta ar permite atacatorului sa corupa continutul datelor si, prin trimiterea inapoi a continutului modificat catre serverul afectat, atacatorul ar putea observa erorile de cod returnate de server, se spune in buletinul de securitate.
Microsoft a precizat ca are cunostinta despre cateva atacuri active limitate ce exploateaza o scapare din modul cum framework-ul de dezvoltare aplicatii web ASp.NET implementeaza criptarea AES.
Vulnerabilitatea a fost dezvaluita saptamana trecuta de cercetatorii in securitate in cazul unei conferinte hacking din Buenos Aires.
Impactul vulnerabilitatii ar putea fi foarte mare, avand in vedere ca aplicatiile construite in ASP.NET sunt larg rapandite, spun expertii in securitate.
Microsoft si-a actualizat buletinul inital de securitate pentru a include intrebari si raspunsuri despre vulnerabilitate, a spus Dave Forstrom, director al Trustworthy Computing din cadrul Microsoft, intr-o postare blog.
Compania lucreaza la un update de securitate care sa rezolve vulnerabilitatea, insa a publicat o solutie temporara in buletinul de securitate.
Microsoft sugereaza activarea functiei customErrors din ASp.NET pentru a configura aplicatiile sa returneze intotdeauna o pagina de eroare, indiferent de erorile ce apar pe un server, a spus compania.
Gigantul sooftware a precizat ca ar putea oferi un update de securitate in cadrul ciclului sau lunar de emitere de update-uri de securitate Patch Tuesday sau sa lanseze un update de securitate out-of-cycle, in functie de necesitatile clientilor.
Citeste articolul pe: SmartNews
Microsoft confirma o vulnerabilitate zero-day in ASP.NET
Microsoft e emis un avertisment de securitate, confirmand o exploatare a unei vulnerabilitati nerezolvate ce afecteaza aplicatiile web construit in ASP.NET.
Exploatarea acestei vulnerabilitati ar putea permite atacatorilor sa vizualizeze date, precum View State, care a fost criptat de catre serverul tinta, sau pentru a citi date din fisiere de pe serverul tintit, precum web.config, a spus Microsoft.
Aceasta ar permite atacatorului sa corupa continutul datelor si, prin trimiterea inapoi a continutului modificat catre serverul afectat, atacatorul ar putea observa erorile de cod returnate de server, se spune in buletinul de securitate.
Microsoft a precizat ca are cunostinta despre cateva atacuri active limitate ce exploateaza o scapare din modul cum framework-ul de dezvoltare aplicatii web ASp.NET implementeaza criptarea AES.
Vulnerabilitatea a fost dezvaluita saptamana trecuta de cercetatorii in securitate in cazul unei conferinte hacking din Buenos Aires.
Impactul vulnerabilitatii ar putea fi foarte mare, avand in vedere ca aplicatiile construite in ASP.NET sunt larg rapandite, spun expertii in securitate.
Microsoft si-a actualizat buletinul inital de securitate pentru a include intrebari si raspunsuri despre vulnerabilitate, a spus Dave Forstrom, director al Trustworthy Computing din cadrul Microsoft, intr-o postare blog.
Compania lucreaza la un update de securitate care sa rezolve vulnerabilitatea, insa a publicat o solutie temporara in buletinul de securitate.
Microsoft sugereaza activarea functiei customErrors din ASp.NET pentru a configura aplicatiile sa returneze intotdeauna o pagina de eroare, indiferent de erorile ce apar pe un server, a spus compania.
Gigantul sooftware a precizat ca ar putea oferi un update de securitate in cadrul ciclului sau lunar de emitere de update-uri de securitate Patch Tuesday sau sa lanseze un update de securitate out-of-cycle, in functie de necesitatile clientilor.
