Chyba v ASP.Net se stává noční můrou. Microsoft chystá mimořádnou záplatu

Nedávno objevenou chybu v ASP.Net, pomocí které lze získat přístup k uživatelským jménům a heslům z webových služeb, začínají zneužívat útočníci.


Zranitelnost se projevuje na serverech s MS Windows využívajících technologii ASP.Net a i když Microsoft říká, že zatím pozoruje jen omezené zneužívání této chyby hackery, jedná se o tak vážný problém, že se jeho zástupci rozhodli uvolnit záplatu mimo obvyklý cyklus, kdy by termín jejího vydání spadal až na 12. října.

Technologie ASP.Net se používá k vytváření dnes velmi populárních webových aplikací a objevená zranitelnost dává útočníkům možnost získat přístup k chráněným souborům nebo k šifrovaným datům, které jsou posílány aplikačním serverem. Zranitelnost demonstrovali začátkem tohoto měsíce výzkumníci na poli bezpečnosti a ukázali, jak lze ukrást šifrovaný cookie či uživatelská jména a hesla z webů. Více viz starší článek Microsoft varuje před kritickou chybou v ASP.Net, která ohrožuje web.

Microsoft vydává záplaty mimo tradiční cyklus, který je naplánovaný vždy na každé druhé úterý v měsíci, v případech, že jde o závažný bezpečnostní problém.

Nyní ovšem poprvé přišel s novým způsobem distribuce. Již dnes v odpoledních hodinách hodlá uvolnit patch na stránkách svého Download Centra, které je obvykle používání velkými organizacemi, které si záplaty chtějí vyzkoušet ještě předtím, než jej nainstalují na všechny počítače. Microsoft doporučuje uživatelům z řad koncových zákazníků i firemním administrátorům navštívit Download Centrum a vyzkoušet záplatu co nejdříve a následně ji nasadit.

Většina uživatelů, kteří využívají automatické aktualizace, ovšem budou pravděpodobně čekat, až Microsoft uvolní záplatu i do služby Windows Update. Proč byl zvolen takový neobvyklý postup, kdy dojde i k automatickým aktualizacím chyby v ASP.Net (údajně by se tam mělo stát v řádech několika dnů) a proč Microsoft v tomto případě doporučuje záplatu nejprve „ozkoušet“ a dává ji k dispozici pouze na stránkách Download Centra, není zcela jasné.

Zástupci Microsoftu tvrdí, že běžné uživatelé nejsou chybou zasaženi, jen pokud by na svých počítačích provozovali webový server.











Komentáře