2 de octubre de 2010

MICROSOFT LANZA UN PARCHE PARA “ASP.NET”

Microsoft ha publicado un parche de emergencia que corrige una vulnerabilidad del entorno de trabajo ASP.NET, utilizado por desarrolladores de todo el mundo para implementar servicios web XML.

  • El error quedó demostrado en una conferencia en Buenos Aires a principios de mes.
  • La vulnerabilidad afecta a Microsoft. NET Framework v1.0 SP3, v1.1 SP1, v2.0 SP2, v3.5, v3.5 SP1, v3.5.1 y v4.0, para ASP.NET en Microsoft Internet Information Services (IIS).

Detalles técnicos

  1. El problema reside en un error al mostrar errores en ASP.NET. Un atacante remoto podría obtener información sensible (datos cifrados por el servidor) a través de múltiples peticiones que causen errores.
  2. Entre los posibles efectos se cuentan el descifrar y modificar el View State (__VIEWSTATE), los datos del formulario y, posiblemente cookies o leer archivos de la aplicación, a través de un ataque "padding oracle attack".

Recomendaciones

  • Se recomienda corregir las versiones afectadas por medio de la actualización publicada puede descargarse a través de Windows Update
  • Ó consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.

Fuente: Eweek Europe