Microsoft vydal mimořádnou záplatu pro ASP.Net

30. 9. 2010

Sdílet

Microsoft vydal mimořádnou záplatu pro zranitelnost v ASP.Net. V důsledku chyby v mechanismu šifrování mohli útočníci získat administrátorská práva k napadené webové aplikaci.

Útok byl původně demonstrován v podobě kompromitace uživatelských dat (cookies, přihlašovací jména a hesla), jeho pomocí ale šlo získat i plnou kontrolu nad serverem, který technologii hostoval. Poté, co byly zaznamenány první útoky, Microsoft nabídl způsob, jak problém obejít (Útočníci zneužívají zero day chybu v ASP.Net). V další fázi pak firma přislíbila i vydání mimořádné opravy, a ta byla včera opravdu uvolněna.

Právě vydaná aktualizace MS10-070 je určena pro všechny v současnosti podporované operační systémy, od Windows XP SP3 po Windows Server 2008 R2 a Windows 7.

Zajímavé je, že Microsoft ovšem aktualizaci nedává status kritické opravy (což je obvykle právě důvod pro mimořádné vydání mimo pravidelný cyklus s uvolňováním záplat každé druhé úterý v měsíci). Překvapivé je i to, že v první fázi je třeba záplatu stahovat a instalovat ručně, teprve později se objeví i v rámci Windows Update.

Příčina? Problémem mohou být postiženy především velké hostingové firmy či poskytovatelé služeb. Ti si mnohdy nemohou dovolit riskovat, že záplata vyvylá kolizi s provozním prostředím, a automatické aktualizace proto raději nepoužívají. Naopak koncových uživatelů se problém prakticky netýká (vyžaduje provoz webového serveru). Na americkém Computerworldu se proto tento krok Microsoftu hodnotí kladně.

ICTS24

Mimořádnou záplatu Microsoftu (4. v tomto roce) lze stáhnout zde.