A Microsoft lançará amanhã um patch urgente para o ASP.NET, corrigindo um problema grave no seu framework.
A falha foi exibida por Juliano Rizzo, divulgada na conferência de segurança ekoparty. O atancante pode facilmente descriptografar cookies, obter informações dos usuários, tickets de autenticação e praticamente qualquer outra coisa criptografada usando a API do ASP.NET. Pode-se, por exemplo, obter acesso de administrador a algum CMS explorando a brecha. No vídeo abaixo há um demo onde o atacante consegue se logar no DotNetNuke:
Há algumas informações de ajuda e workarounds para quem administra os servidores Windows.
A empresa afirma que observou ataques limitados, apesar de não serem em larga escala, são extremamente graves para os donos dos sites. A correção será lançada no centro de downloads antes de aparecer no Windows Update.
Naturalmente isso não afeta usuários domésticos, somente servidores com alguma versão do ASP.NET.
Veja mais http://blogs.technet.com/b/msrc/archive/2010/09/27/out-of-band-release-to-address-microsoft-security-advisory-2416728.aspx
Fonte: http://www.guiadohardware.net/noticias/2010-09/falha-aspnet.html
Nenhum comentário:
Postar um comentário