Microsoft ha publicado un parche de emergencia que corrige una vulnerabilidad del entorno de trabajo ASP.NET, utilizado por desarrolladores de todo el mundo para implementar servicios web XML.
- El error quedó demostrado en una conferencia en Buenos Aires a principios de mes.
- La vulnerabilidad afecta a Microsoft. NET Framework v1.0 SP3, v1.1 SP1, v2.0 SP2, v3.5, v3.5 SP1, v3.5.1 y v4.0, para ASP.NET en Microsoft Internet Information Services (IIS).
Detalles técnicos
- El problema reside en un error al mostrar errores en ASP.NET. Un atacante remoto podría obtener información sensible (datos cifrados por el servidor) a través de múltiples peticiones que causen errores.
- Entre los posibles efectos se cuentan el descifrar y modificar el View State (__VIEWSTATE), los datos del formulario y, posiblemente cookies o leer archivos de la aplicación, a través de un ataque "padding oracle attack".
Recomendaciones
- Se recomienda corregir las versiones afectadas por medio de la actualización publicada puede descargarse a través de Windows Update
- Ó consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.
Fuente: Eweek Europe