Nieuws
image

Microsoft waarschuwt voor misbruik ASP.NET-lek

dinsdag 21 september 2010, 11:00 door Redactie, 6 reacties

Microsoft waarschuwt systeembeheerders dat hackers het zero day beveiligingslek in ASP.NET actief misbruiken. Volgens de softwaregigant gaat het vooralsnog om "beperkte" aanvallen. De kwetsbaarheid zorgt ervoor dat een aanvaller vertrouwelijke informatie kan achterhalen en bevindt zich in de manier waarop ASP.NET encryptie gebruikt. Tot onvrede van Microsoft werd het lek vorige week publiek gemaakt.

De exploitcode is tegen alle ASP.NET applicaties te gebruiken, waaronder webformulieren, MVC, maar ook SharePoint 2010 loopt risico. Microsoft heeft inmiddels de advisory met informatie uitgebreid en bespreekt hier het toepassen van een tijdelijke oplossing.

Patch
Een beveiligingsupdate is in de maak, maar zal pas na uitvoerig getest te zijn verschijnen. Wederom hamert Microsoft erop om beveiligingslekken op verantwoorde wijze te rapporteren. "Zonder coördinatie om een beveiligingsupdate of advies te bieden, wordt het risico voor klanten enorm vergroot", zegt Dave Forstrom, directeur Trustworthy Computing.

Reacties (6)
21-09-2010, 11:02 door Anoniem
Hoe weet je als gebruiker van een webpagina of de server gepatcht is of niet?
21-09-2010, 11:12 door xy22
Door Anoniem: Hoe weet je als gebruiker van een webpagina of de server gepatcht is of niet?
Dat weet je niet lijkt me zo, vooral als de patch nog niet uitgebracht is ;)
21-09-2010, 11:26 door Dev_Null
Wederom hamert Microsoft erop om beveiligingslekken op verantwoorde wijze te rapporteren.
Wederom vragen Microsoft's klanten om te stoppen met het produceren van "digitale bagger" en over te gaan naar het schrijven van echt goede stabiele en veilige software waarop ze technisch kunnen vertrouwen.

Wat dat betreft mag van mij persoonlijk IEDER LEK uitgebreid aan de grote klok gehangen worden.
Dan valt het lek namelijk niet meer te ONTKENNEN door de (marketingafdeling van de) VEROORZAAKER van dit product.

Ideetje:
Wat dachten jullie van een "Wiki_Leaks website" voor goed gedocumenteerde programmeerfouten?
Een globaal meldpunt van digitale fabrikanten ellende? Zo kunnen de klanten de fabrikanten op een constructieve wijze inspireren tot het verbeteren van hun producten en productie en testprocessen.
21-09-2010, 11:39 door Mysterio
Nee, niet mee eens. Ik blijf van mening dat je Microsoft het voordeel van de twijfel moet geven bij een nieuw lek en ze de tijd geven om met een fatsoenlijke oplossing te komen. Het enige wat je bereikt met het openbaar maken van zo'n lek is dat het actief misbruikt gaat worden. En als bijproduct zet je Microsoft onder druk. Lijkt me niet de beste oplossing. Geef ze de tijd, maar hou ze in de gaten!
21-09-2010, 12:21 door Anoniem
Microsoft was al een jaar op de hoogte van het lek maar stelde het telkens uit om ernaar te kijken...
21-09-2010, 12:55 door Bitwiper
Meer info (filmpje van de bekendmakers) vind je hier: http://threatpost.com/en_us/blogs/demo-aspnet-padding-oracle-attack-091710
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure