Microsoft предупреждает об уязвимости в ASP.NET

Microsoft предупреждает о серьезной уязвимости во фреймворке ASP.NET, используемом для создания веб-сайтов. Уязвимости подвержены все версии .NET для всех версий Windows: XP, Vista, Windows 7, Windows Server 2003 и 2008, сообщается в предварительном уведомлении.

http://www.kylirhorton.com/images/aspnetLogo.jpg

"На данный момент мы не зарегистрировали атаки с использованием этой уязвимости, но мы рекомендуем нашим клиентам ознакомиться с путями решения этой проблемы" - говорится в официальном сообщении компании, опубликованном в блоге MSRC. Microsoft также выпустила скрипт, призванный помочь администраторам определить, уязвимы ли их приложения ASP.NET.

"Уязвимость вызвана тем, что ASP.NET предоставляет веб-клиентам подробную информацию в сообщениях об ошибках при расшифровке определенных фрагментов зашифрованного текста" - говорят в Microsoft. Злоумышленник может прочитать или внести изменения в данные, которые были зашифрованы на сервере, а также прочитать данные из файлов на целевом сервере.

Предварительное уведомление было опубликовано Microsoft после получения информации от двух исследователей, которые заявили о наличии уязвимости на конференции Ekoparty Security, прошедшей в Буэнос-Айресе в прошлую пятницу.

"Злоумышленники могут расшифровать cookie-файлы, данные о визитах, данные форм аутентификации, пароли, данные пользователя и все остальное, что шифруется с использованием API" - заявляли исследователи. "Уязвимости, которые затрагивают фреймворк, применимы к 25% существующих веб-сайтов. Результаты атаки зависят от приложений, установленных на сервере. Поэтому это может быть все, что угодно, - от раскрытия персональной информации до полного владения системой."

Источник новости: TheVista



Опубликовал admin
23 Сен, Четверг 2010г.



Программирование для чайников.