Individuata una lacuna in ASP.NET e, in particolare, nell’elaborazione dei dati POST inviati dall’oggetto Request.Form. I malintenzionati potrebbero sfruttare la lacuna per produrre un sovraccarico delle risorse macchina. E Microsoft corre al riparo…
Sembrava che il 2011 dovesse chiudersi, per Microsoft, con il rilascio di 99 bollettini di sicurezza, come avevamo concluso in questo nostro articolo. I tecnici del colosso di Redmond, invece, hanno ritenuto opportuno rilasciare il centesimo aggiornamento (MS11-100) appena prima della fine dell’anno. La sua applicazione è indispensabile per la risoluzione di alcune vulnerabilità critiche individuate in tutte le versioni del pacchetto .Net Framework. La MS11-100 è una patch “out-of-band“, dal momento che non è stata resa disponibile in occasione del “patch day” mensile (il secondo martedì del mese), giorno scelto da Microsoft per la pubblicazione degli aggiornamenti di sicurezza per Windows e per le sue applicazioni.
La vulnerabilità che ha spinto Microsoft al rilascio “out-of-band” è stata l’individuazione di una lacuna in ASP.NET e, in particolare, nell’elaborazione dei dati POST inviati dall’oggetto Request.Form. Secondo quanto scoperto dai ricercatori tedeschi di n-runs, un aggressore potrebbe sfruttare la lacuna per produrre un sovraccarico delle risorse macchina (ad esempio, processore e memoria di un server Web) provocando un attacco DoS (Denial of Service). In tale circostanza, tutti i siti Web ospitati sul server preso di mira diverrebbero irraggiungibili.
Come spiega Feliciano Intini (Microsoft), la società guidata da Steve Ballmer ha approfittato del “rilascio natalizio” per includere nel medesimo bollettino la correzione di altre tre vulnerabilità segnalate privatamente.
Maggiori dettagli sono disponibili a questo indirizzo. Sebbene la patch sia d’importanza cruciale per chi gestisce server Web e utilizza ASP.NET, l’applicazione dell’aggiornamento è caldamente consigliata a tutti gli utenti Windows.
- Patch di sicurezza, il fattore umano e i social media
- Otto patch per Microsoft
- Patch day, 5 aggiornamenti nel mese di settembre
- La distribuzione delle patch in azienda si fa più semplice
- Patch day, quattro gli aggiornamenti di sicurezza
- Un patch day pesante per Microsoft
- Solo due patch per Microsoft
- Un pieno di patch per Microsoft
- Patch day, 12 aggiornamenti per il mese di febbraio
- Due sole patch per l’inizio del 2011
