sábado, 18 de septiembre de 2010

Vulnerabilidad en ASP.NET y su alcance


Luego de la presentación pública en EKO Party de la vulnerabilidad en todas las versiones de ASP.NET por parte de Juliano Rizzo y Thai Duong, de la publicación del exploit (ver video) y que permite la revelación de información sensible del usuario, Microsoft ha lanzado Security Advisory 2416728 (CVE-2010-3332).

POET (Padding Oracle Exploit Tool), la herramienta creada por los investigadores, fue arrojada al público al final de la conferencia en tres pendrives, si bien para acceder al exploit, se debe superar un desafío.

Según los autores del exploit esta vulnerabilidad alcanzaría al 25% de los sitios web actuales y Microsoft aclara que "en este momento no tienen conocimiento de ningún ataque utilizando esta vulnerabilidad". Además, se ha publicado una entrada en su blog para explicar el alcance del problema y las posibles soluciones temporales hasta el lanzamiento de la solución definitiva.

Cristian de la Redacción de Segu-Info

No hay comentarios: