Microsoft предупреждает об уязвимости в ASP.NET

Microsoft предупреждает о серьезной уязвимости во фреймворке ASP.NET, используемом для создания веб-сайтов. Уязвимости подвержены все версии .NET для всех версий Windows: XP, Vista, Windows 7, Windows Server 2003 и 2008, сообщается в предварительном уведомлении.

"На данный момент мы не зарегистрировали атаки с использованием этой уязвимости, но мы рекомендуем нашим клиентам ознакомиться с путями решения этой проблемы" - говорится в официальном сообщении компании, опубликованном в блоге MSRC. Microsoft также выпустила скрипт, призванный помочь администраторам определить, уязвимы ли их приложения ASP.NET.

"Уязвимость вызвана тем, что ASP.NET предоставляет веб-клиентам подробную информацию в сообщениях об ошибках при расшифровке определенных фрагментов зашифрованного текста" -говорят в Microsoft. Злоумышленник может прочитать или внести изменения в данные, которые были зашифрованы на сервере, а также прочитать данные из файлов на целевом сервере.

Предварительное уведомление было опубликовано Microsoft после получения информации от двух исследователей, которые заявили о наличии уязвимости на конференции Ekoparty Security, прошедшей в Буэнос-Айресе в прошлую пятницу.

"Злоумышленники могут расшифровать cookie-файлы, данные о визитах, данные форм аутентификации, пароли, данные пользователя и все остальное, что шифруется с использованием API" - заявляли исследователи. "Уязвимости, которые затрагивают фреймворк, применимы к 25% существующих веб-сайтов. Результаты атаки зависят от приложений, установленных на сервере. Поэтому это может быть все, что угодно, - от раскрытия персональной информации до полного владения системой."


Источник: http://news.cnet.com
Перевод: houseboy