Microsoft alerteaza utilizatorii: Web bug foarte periculos in ASP.Net
-
-
Publicat de
Microsoft a avertizat in cursul zilei de vineri ca un bug critic in ASP.Net poate fi exploatat de hackeri pentru a controla sesiuni web criptate si pentru a fura nume si parole de utilizatori.
Vulnerabilitatea a devenit publica in aceeasi zi in care o serie de cercetatori au subliniat tehnicile de atac la conferinta de securitate Ekoparty din Buenos Aires. Aceasta exista in toate versiunile de ASP.Net , framework-ul Microsoft pe care sunt dezvoltate milioane de site-uri si aplicatii. Microsoft va trebui sa creeze un patch pentru fiecare verisune suportata de windows de la Windows XP SP3 la Server 2003 si Windows 7 respectiv Server 2008 R2, alaturi de o serie de alte produse, ce includ IIS si SharePoint.
La conferinta de care va vorbeam mai sus, Juliano Rizzo si Thai Duong au demonstrat cum aceasta gaura in securitatea criptarii ASP.Net poate fi exploatata pentru a decripta date si cookie-uri de pe un server remote, cat si accesa si copia fisiere de pe un site sau o aplicatie Web bazata pe acesta.
Acestia au declarat ca bug-ul le permite accesul la aplicatii Web cu dreputuri de administrator, putand accesa astfel date si informatii care pot duce la compromiterea intregului sistem. O estimare releva ca 25% din site-urile Web sunt realizate pe ASP.Net.
“(Puteti) preveni aceasta vulnerabilitate (activand) functia customError si configura in mod explicit aplicatiile pentru a returna de fiecare data aceeasi pagina de eroare indiferent de tipul acesteia”, declara Scott Guthrie, ce conduce o serie de echipe de dezvoltare ale Microsoft, inclusiv pe cea responsabila pentru ASP.Net. “Prin maparea tuturor paginilor de eroare catre una singura puteti identifica activitatea unui hacker prin diferentierea tipurilor de erori ce apar pe server.”
Acest mod de a evita problema protejeaza de atacurile evidentiate de Rizzo si Duong, dar nu rezolva problema reala. “Evident, vom lansa un patch pentru acest bug”, adauga Guthrie intr-un comentariu de pe blogul sau. “Pana atunci, fix-ul de mai sus anuleaza posibilitatile de atac”
Microsoft a publicat un script Visual Basic ce detecteaza aplicatiile vulnerabile ASP.Net si a realizat un forum de suport dedicat suportului pentru site-uri si dezvoltatori de aplicatii.
Comentarii
Lasă un răspuns
Din aceeasi categorie
- Prima retea LTE din Bulgaria
- Ericsson asigura 50% din traficul mondial generat de smartphone-uri
- Servicii de cloud oferite de operatorii telecom
- Cum s-a văzut Valentine’s Day în căutările Google
- Premiile iF: Sony Ericsson – 4 trofee
- Comunicatii securizate de date si voce pentru mediul de afaceri
- SCOP Computers devine distribuitor Edimax
- Vodafone si Gameloft aduc in premiera noua generatie de jocuri HD
- ASUS a lansat Eee Pad Transformer, tableta cu tastatură detașabilă
- G Data MobileSecurity: protecție inteligentă pentru Android
De acelasi autor
- Top 10 video playere in teste!
- Compro W700
- Seasonic X-650
- Smartphone-urile bazate pe Android – profit de 20 de milioane de dolari in Q3
- 10 gadgeturi de interes la Ceatec 2010
- iPhone 4, ecran mai sensibil la socuri
- Premiera in Romania – Review NVIDIA GT430
- Logitech Revue Google TV Box disponibil
- Benq lanseaza K61 E-reader
- Motorola lanseaza Droid pro