Página Inicial



twitter

Facebook

  Notícia
|

 

MICROSOFT ALERTA PARA FALHA CRÍTICA QUE ATINGE APLICAÇÕES EM ASP.NET

21/09/2010

A Microsoft alertou na última sexta-feira (20/09) que uma falha crítica no ASP.Net ? ambiente de programação em servidores Windows ? poderia ser usada por hackers para invadir páginas criptografadas da Web e roubar dados como nomes de usuário e senhas.

A vulnerabilidade se tornou pública neste mesmo dia, pouco antes do anúncio da empresa, quando dois pesquisadores, que descobriram o problema, mostraram como explorá-lo em uma conferência de segurança realizada em Buenos Aires, Argentina.

De acordo com o comunicado da companhia de Redmond, a falha atinge todas as versões do ASP.Net. Portanto, uma correção terá que ser providenciada para todos os sistemas operacionais ainda suportados, do Windows XP Service Pack 3 (SP3) e Server 2003 ao Windows 7 e Server 2008 R2. Outros produtos, como o IIS e o SharePoint também serão atualizados.

Os hackers responsáveis pela demonstração, Rizzo e Duong, disseram que os ataques que exploram a falha podem acessar aplicativos Web com prioridade administrativa, provocando desde a ?perda de dados sigilosos à destruição completa do sistema?. Eles estimam que 25% de todos os sites usem o ASP.Net.

Enquanto a correção não vem
Embora a Microsoft tenha dito que uma correção está a caminho, ela não divulgou um cronograma. Enquanto isso, sugere aos desenvolvedores uma medida paliativa:

?Você pode se prevenir ao ativar o recurso customError do ASP.Net, e configurá-lo para sempre retornar a mesma página de erro ? independentemente da falha encontrada no servidor?, escreveu Scott Guthrie, responsável por algumas equipes de desenvolvimento da empresa, inclusive a que comanda o ASP.Net. ?Ao direcionar todas as páginas de erro a um único lugar, você impedirá que um hacker distinga entre os diferentes erros ocorridos?.

O diretor de operações de segurança da empresa nCircle Security confirmou que a vulnerabilidade é ?preocupante?.

?Quanto aos serviços públicos, as pessoas ficarão temerosas com ataques que poderão acessar qualquer documento. Por exemplo, arquivos ´web.config´, nos quais estão contidos o tradicional usuário/senha?.

Para ajudar os desenvolvedores, a Microsoft publicou um script em Visual Basic capaz de detectar a vulnerabilidade em aplicações ASP.Net, além de disponibilizar um fórum exclusivo para as perguntas referentes ao problema.
 
 
 
 
Fonte: IDgNow

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar