Microsoft objavio hitan patch za ASP.Net propust korišćen u napadima

Vesti, 29.09.2010, 01:39 AM

Microsoft objavio hitan patch za ASP.Net propust korišćen u napadima

Microsoft je objavio hitan vanredni patch za ranjivost u ASP.Net framework manje od dve nedelje pošto su dvojica istraživača, Juliano Rizzo i Thai Duong, objavila postojanje baga 17. septembra na konferenciji posvećenoj bezbednosti koja se održala u Argentini.

Zakrpa (patch) za ASP.Net bag je za sada dostupna za download samo na stranici Microsoft's Download Center, ali kompanija planira da ga objavi i preko Windows Update i Windows Server Update u roku od nekoliko dana.

“Za korisnike koji koriste automatsko ažuriranje, patch će se automatski primeniti kada bude objavljen na ovaj način. Kada se to bude desilo, korisnici će biti zaštićeni od poznatih napada povezanih sa Security Advisory 2416728,” rekao je Dave Forstrom, direktor Trustworthy Computing u kompaniji Micorosft.

Problem je bio u tome što softver pruža previše podataka u porukama o grešci što omogućava napadačima brute-force napade na podatke zaštićene kriptovanjem. Metodologija koja se koristi u ASP.Net napadima je stara nekoliko godina i oslanja se na iskorišćavanje slabosti u implementaciji kriptovanja.

Prošle nedelje Microsoft je objavio uputstvo za korisnike, nudeći nekoliko rešenja koja bi trebalo da ublaže napade. Međutim, istraživači Rizzo i Duong su izjavili da ponuđeni predlozi Microsoft-a, koji se oslanjaju na promenu načina na koji web aplikacije generišu poruke o grešci, ne štite od napada, već samo od jedne varijante napada.

Ovo je drugi put za manje od dva meseca da Microsoft objavljuje vanredni patch. Prvi put se to dogodilo 2. avgusta kada je objavljen hitan patch za bag koji je korišćen u napadima malicioznim programom Stuxnet.

S obzirom da postoji veliki rizik od ovog baga mrežni administratori IIS web sajtova bi trebalo da preuzmu patch bez odlaganja.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Policija zaplenila domene ransomware kartela LockBit

Policija zaplenila domene ransomware kartela LockBit

Ransomware kartel LockBit ostao je bez veb sajta koji je grupa koristila za objavljivanje imena novih žrtava. Na sajtu sada stoji obaveštenje da je ... Dalje

Google najavio novu funkciju Google Chromea koja će blokirati napade na kućne mreže

Google najavio novu funkciju Google Chromea koja će blokirati napade na kućne mreže

Veb pregledači su portal između vas i interneta, tako da bi trebalo da imaju odbrambene mehanizme koji mogu da spreče hakere da steknu uporište na... Dalje

Zbog masovnog sajber napada zaustavljena proizvodnja baterija u fabrikama Varta

Zbog masovnog sajber napada zaustavljena proizvodnja baterija u fabrikama Varta

Nemački proizvođač baterija i akumulatora za automobile Varta AG je saopštio da je sajber napad koji se dogodio u ponedeljak stavio van mreže pet... Dalje

''Nevidljivi malver'' RustDoor inficira Apple macOS uređaje

''Nevidljivi malver'' RustDoor inficira Apple macOS uređaje

Istraživači kompanije Bitdefender otkrili su novi macOS malver napisan u programskom jeziku Rust zbog čega je nazvan RustDoor, koji se neprimećen ... Dalje

Raspisana nagrada od 10 miliona dolara za informacije o članovima ransomware grupe Hive

Raspisana nagrada od 10 miliona dolara za informacije o članovima ransomware grupe Hive

Američki Stejt department ponudio je nagradu od 10 miliona dolara za informacije koje bi dovele do identifikacije ili lociranja ključnih članova ra... Dalje