ÍndicePortalCalendarioGaleríaFAQBuscarMiembrosGrupos de UsuariosRegistrarseConectarse

Comparte | 
 

 Boletín de seguridad para ASP.NET de Microsoft

Ver el tema anterior Ver el tema siguiente Ir abajo 
AutorMensaje
yakerr5
Vongola
Vongola
avatar

Mensajes : 162
Infartos : 297
Nakamas : 2
Fecha de inscripción : 23/09/2010
Edad : 25
Localización : Bellavista

MensajeTema: Boletín de seguridad para ASP.NET de Microsoft   Jue Sep 30, 2010 8:29 pm

Boletín de seguridad para ASP.NET
Microsoft acaba de publicar el boletín de seguridad MS10-070 de carácter
importante, en el que se soluciona una vulnerabilidad en ASP.NET. Aunque
la vulnerabilidad no se considera crítica Microsoft publica esta
actualización con carácter de urgencia debido a la importancia de la
plataforma .net y la importancia del problema al permitir obtener
información sensible del servidor.

Microsoft no suele publicar boletines fuera de ciclo para
vulnerabilidades que no se consideren críticas, esto es, que permitan el
compromiso de sistemas remotos y que además estén siendo aprovechadas
por atacantes. Pero en esta ocasión, el problema afecta a millones de
sitios web que hacen uso de las funciones de cifrado AES incluidas en
ASP.NET para proteger la integridad de datos, como las cookies, durante
las sesiones de usuario. Además estos datos de sesiones se usan en
aplicaciones web de gran importancia como banca online, venta on-line
y en general cualquier sitio web que precise de un login para
identificarse. Todo esto ha convertido una vulnerabilidad de revelación
de información (importante según la clasificación de Microsoft) en un
problema especialmente preocupante.

La vulnerabilidad afecta a Microsoft. NET Framework v1.0 SP3, v1.1 SP1,
v2.0 SP2, v3.5, v3.5 SP1, v3.5.1 y v4.0, para ASP.NET en Microsoft
Internet Information Services (IIS). El problema reside en un error
al mostrar errores en ASP.NET. Un atacante remoto podría obtener
información sensible (datos cifrados por el servidor) a través de
múltiples peticiones que causen errores.

Entre los posibles efectos se cuentan el descifrar y modificar el View
State (__VIEWSTATE), los datos del formulario y, posiblemente cookies o
leer archivos de la aplicación, a través de un ataque "padding oracle
attack". El objeto ViewState se cifra y envía al cliente en una variable
oculta, pero un atacante podría acceder a su contenido descifrado.

De esta forma, muchos de los efectos podrán depender de la propia
aplicación ASP.Net. Por ejemplo, si la aplicación almacena información
sensible, como contraseñas o cadenas de conexión a bases de datos, en el
objeto ViewState estos datos podrían verse comprometidos.

Como es habitual, la actualización publicada puede descargarse a través
de Windows Update o consultando el boletín de Microsoft donde se
incluyen las direcciones de descarga directa de cada parche. Dada la
gravedad de la vulnerabilidad se recomienda la actualización de los
sistemas afectados con la mayor brevedad posible.

_________________
Twisted Evil Hey Hey Hey Twisted Evil

Twisted Evil Hey Hey Hey Twisted Evil
Volver arriba Ir abajo
Ver perfil de usuario
 
Boletín de seguridad para ASP.NET de Microsoft
Ver el tema anterior Ver el tema siguiente Volver arriba 
Página 1 de 1.
 Temas similares
-
» PAREJA DE CINTURóNES DE SEGURIDAD DE 3 PUNTOS VW PARA ESCARABAJO Y KARMANN GHIA
» Tutorial para guardar tus copias de Seguridad
» Consejos para matar a un gobul
» Para Cada Monstruo que es mejor?
» !!!!monster hunter para móviles¡¡¡¡

Permisos de este foro:No puedes responder a temas en este foro.
The Monsters 2.0 :: Noticias-
Cambiar a: