Microsoft rilascia patch di sicurezza per vulnerabilità in ASP.NET


Microsoft rilascerà a breve un aggiornamento out-of-band di protezione per risolvere una falla critica di sicurezza (CVE-2011-3414) che si trova in ASP.NET, che colpisce tutte le versioni supportate di .NET Framework, che potrebbe consentire un attacco denial-of-service su server che servono pagine ASP.NET.Questi attacchi che sfruttano le tabelle hash, conosciuti come hash collision attacks, non sono specifici di tecnologie Microsoft, ma altri fornitori software di web service potrebbero risentirne. 

In un advisory pubblicato Mercoledì , il produttore di software ha detto che era consapevole del fatto che informazioni dettagliate erano state pubblicate per descrire gli attacchi di collisione hash. "La vulnerabilità interessa tutte le versioni di Microsoft NET framework e può condurre ad un attacco tipo denial-of-service non autenticato sui ​​server che servono le pagine ASP.NET. La vulnerabilità è dovuta al modo in cui ASP.NET processa i valori in un modulo post ASP.NET causando una collisione hash.

E' possibile che un utente malintenzionato invii un piccolo numero di messaggi appositamente predisposto a un server ASP.NET, causando  la degradazione in modo significativa delle prestazioni sufficienti a causare una condizione di negazione del servizio DDos", ha osservato. L'aggiornamento verrà reso disponibile per tutte le versioni di Windows, incluso Windows XP Service Pack 3, Windows Server 2008 e Windows 7 per sistemi a 64 bit.

A tutti gli utenti del sistema operativo Windows si consiglia di installare l'aggiornamento al più presto appena verrà rilasciato per evitare spiacevoli incidenti. Per ora non ci sono ulteriori dettagli sul problema che riguarda Windows 7 64-bit, ma a giudicare da quello che Microsoft ha rivelato, è improbabile che qualcosa verrà fornita a breve. Michael Kranawetter non ha fornito altri dettagli ed ha detto che le indagini sono ancora in corso.

Nessun commento:

Posta un commento