Soron kívüli javítás érkezik az ASP.NET hibára

Nem várja meg az októberi patch keddet a Microsoft és soron kívül javítja azt az ASP.NET sebezhetőséget, amely nagyjából két hete került nyilvánosságra és azóta támadók már aktívan ki is használják. Bár a redmondiak szerint csak elszigetelt esetekről van szó, a sebezhetőség annyira kockázatos, hogy rendkívüli patch kiadása szükséges.

Amint arról a HWSW is beszámolt, az ASP.NET összes verzióját és az összes ASP.NET weboldalt érintő hibát kihasználva egy támadó dekódolhatja a kliens felé titkosítva küldött adatokat, fájlokat tölthet le, vagy akár jogosultság-elevációt érhet el. Az ASP.NET titkosítómoduljában olyan hiba található, amely lehetővé teszi a támadók számára, hogy elegendően sok hibás lekérés küldésével visszafejtsék az állományok titkosítását. A szoftver a hibás lekérésekre mindig más hibaüzenettel válaszol, ezek elemzésével visszafejthető a titkosítás. A sebezhetőség az ASP.NET-alapú SharePointot és Exchange Servert is érinti.

Ollé, lesz SYSADMINDAY! Duna melletti szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, szakmázás, barátok, még több sörcsap.

A szokásoktól eltérően a javítás először a Microsoft Download Centerben lesz hozzáférhető, ahonnan a adminisztrátorok letölthetik és alaposan tesztelhetik a rendszereiket, mielőtt ténylegesen telepítik. "Ez lehetővé teszi számunkra, hogy olyan gyorsan frissítsünk amennyire lehet, de a vállalati rendszergazdák és felhasználók, akik telepíteni szeretnék a patchet, tesztelhessék is előtte" - olvasható a Microsoft Security Response Center blogban. "Azt tanácsoljuk ezeknek az ügyfeleknek, hogy látogassák meg a Download Centert, töltsék le a frissítést, teszteljék és telepítsék amint lehet."

A patch szeptember 28-á, magyar idő szerint délután 5 órától lesz letölthető a Download Centerből.  A hibajavítás a Microsoft automatikus frissítőszolgáltatásán is megjelenik, de csak néhány nappal később.