Microsoft vydal mimořádnou záplatu pro ASP.Net

Microsoft vydal mimořádnou záplatu pro zranitelnost v ASP.Net. V důsledku chyby v mechanismu šifrování mohli útočníci získat administrátorská práva k napadené webové aplikaci.


Útok byl původně demonstrován v podobě kompromitace uživatelských dat (cookies, přihlašovací jména a hesla), jeho pomocí ale šlo získat i plnou kontrolu nad serverem, který technologii hostoval. Poté, co byly zaznamenány první útoky, Microsoft nabídl způsob, jak problém obejít (Útočníci zneužívají zero day chybu v ASP.Net). V další fázi pak firma přislíbila i vydání mimořádné opravy, a ta byla včera opravdu uvolněna.

Právě vydaná aktualizace MS10-070 je určena pro všechny v současnosti podporované operační systémy, od Windows XP SP3 po Windows Server 2008 R2 a Windows 7.

Zajímavé je, že Microsoft ovšem aktualizaci nedává status kritické opravy (což je obvykle právě důvod pro mimořádné vydání mimo pravidelný cyklus s uvolňováním záplat každé druhé úterý v měsíci). Překvapivé je i to, že v první fázi je třeba záplatu stahovat a instalovat ručně, teprve později se objeví i v rámci Windows Update.

Příčina? Problémem mohou být postiženy především velké hostingové firmy či poskytovatelé služeb. Ti si mnohdy nemohou dovolit riskovat, že záplata vyvylá kolizi s provozním prostředím, a automatické aktualizace proto raději nepoužívají. Naopak koncových uživatelů se problém prakticky netýká (vyžaduje provoz webového serveru). Na americkém Computerworldu se proto tento krok Microsoftu hodnotí kladně.

Mimořádnou záplatu Microsoftu (4. v tomto roce) lze stáhnout zde.

 











Komentáře