Microsoft objavio hitan patch za ASP.Net propust korišćen u napadima
Vesti, 29.09.2010, 01:39 AM

Microsoft je objavio hitan vanredni patch za ranjivost u ASP.Net framework manje od dve nedelje pošto su dvojica istraživača, Juliano Rizzo i Thai Duong, objavila postojanje baga 17. septembra na konferenciji posvećenoj bezbednosti koja se održala u Argentini.
Zakrpa (patch) za ASP.Net bag je za sada dostupna za download samo na stranici Microsoft's Download Center, ali kompanija planira da ga objavi i preko Windows Update i Windows Server Update u roku od nekoliko dana.
“Za korisnike koji koriste automatsko ažuriranje, patch će se automatski primeniti kada bude objavljen na ovaj način. Kada se to bude desilo, korisnici će biti zaštićeni od poznatih napada povezanih sa Security Advisory 2416728,” rekao je Dave Forstrom, direktor Trustworthy Computing u kompaniji Micorosft.
Problem je bio u tome što softver pruža previše podataka u porukama o grešci što omogućava napadačima brute-force napade na podatke zaštićene kriptovanjem. Metodologija koja se koristi u ASP.Net napadima je stara nekoliko godina i oslanja se na iskorišćavanje slabosti u implementaciji kriptovanja.
Prošle nedelje Microsoft je objavio uputstvo za korisnike, nudeći nekoliko rešenja koja bi trebalo da ublaže napade. Međutim, istraživači Rizzo i Duong su izjavili da ponuđeni predlozi Microsoft-a, koji se oslanjaju na promenu načina na koji web aplikacije generišu poruke o grešci, ne štite od napada, već samo od jedne varijante napada.
Ovo je drugi put za manje od dva meseca da Microsoft objavljuje vanredni patch. Prvi put se to dogodilo 2. avgusta kada je objavljen hitan patch za bag koji je korišćen u napadima malicioznim programom Stuxnet.
S obzirom da postoji veliki rizik od ovog baga mrežni administratori IIS web sajtova bi trebalo da preuzmu patch bez odlaganja.

Izdvojeno
Danas je Svetski dan bekapa

Više od jedne decenije, 31. mart je značajan dan u tehnološkoj industriji, dan čije je obeležavanje podsetnik na važnost proaktivnog pravljenja ... Dalje
Google upozorio na ranjivosti iOS i Androida koje se koriste za instalaciju komercijalnog špijunskog softvera

Googleova grupa za analizu pretnji (TAG) otkrila je da prati preko 30 komercijalnih proizvođača špijunskog softvera koji olakšavaju širenje malve... Dalje
Otvoreno pismo Maska, Voznijaka i grupe stručnjaka za AI: Trka za razvoj sistema veštačke inteligencije je van kontrole

Ilon Musk i grupa stručnjaka za veštačku inteligenciju pozvala je da se privremeno obustavi obuka moćnih sistema veštačke inteligencije zbog po... Dalje
Microsoft predstavio Security Copilot, novog GPT-4 AI pomoćnika za sajber bezbednost

Nakon najave Copilot pomoćnika sa veštačkom inteligencijom za Office aplikacije, Microsoft je najavio još jednog pomoćnika koji je nazvan Securi... Dalje
Zbog bezbednosti Francuska zabranila sve aplikacije za zabavu na uređajima zaposlenih u državnim službama

Poslednjih nekoliko meseci, vlade širom sveta zabranjuju TikTok na uređajima zvaničnika. Holandija i Norveška su poslednje koje su se pridružile ... Dalje
Pratite nas
Nagrade