Vulnerabilidad en el componente ASP.NET de Microsoft


Un problema en el tratamiento de cookies en el componente ASP.NET puede dejar vulnerables a un ataque de desbordamiento de búfer a determinadas
aplicaciones desarrolladas bajo el entorno .NET de Microsoft.





ASP.NET es una colección de tecnologías de Microsoft destinadas a ayudar a los desarrolladores a construir aplicaciones web. En cualquier caso, las aplicaciones web, incluyendo las construidas mediante la utilización de ASP.NET dependen del protocolo http para proporcionar la conectividad. Una característica de este protocolo es que este no tiene información sobre el estado anterior, lo que quiere decir, que cada petición de una página de un usuario a un sitio es considerada como una nueva petición, independientemente de lo que haya ocurrido
anteriormente. Para compensar esto, ASP.NET proporciona una
administración del estado de la sesión a través de diferentes modos.

Uno de estos modos es el modo StateServer. A través de este modo, se
almacena la información del estado de la sesión en un proceso diferente.
Existe una vulnerabilidad de desbordamiento de búfer en una de las
rutinas que realiza el tratamiento de las cookies en el modo
StateServer.

Un ataque con éxito podrá provocar el reinicio de la aplicación ASP.NET.
Esto ocasionará que todos los usuarios de la aplicación web vean como
esta se cierra y pierdan todos los datos de la sesión en uso. Como
efecto más grave el atacante podrá lograr la ejecución de código en el
servidor afectado.

Como factores atenuantes se destacan que el modo StateServer no es el modo por defecto, además deberá hacer uso de cookies para que la aplicación sea vulnerable.

Microsoft ha publicado una actualización para evitar este problema que se puede descargar desde la siguiente dirección:
Microsoft .NET Framework version 1.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39298


Otras noticias de interés:

CURSOS DE PHP: ULTIMOS CUPOS PARA CURSO EN LA CIUDAD DE PUERTO ORDAZ
CERTIFICACION COMPLETA Últimos cupos para el curso a realizarse en la ciudad de Puerto Ordaz de Certificación Completa (Los 3 niveles), tendrá una duración de 40 Horas....
HD #8 disponible
Esta disponible para su descarga la ezine HD (Hackers & Developers), magazine digital de distribución mensual sobre Software Libre, Hacking y Programación....
Caminantes aleatorios, la próxima revolución P2P.
La próxima generación de programas de pares podría alcanzar nuevos niveles de estabilidad y eficiencia gracias al desarrollo de un nuevo algoritmo de búsqueda basado en los caminantes aleatorios....
Microsoft corregirá vulnerabilidad del Internet Explorer 7
Será hoy. Así lo aseguró la empresa en diálogo con Infobae.com. Agregaron que no se registraron casos de usuarios afectados a raíz de un error en el navegador...
Inyección de scripts en mensajes de error HTML
Internet Explorer utiliza como recursos de funcionamiento para uso interno, varios archivos HTML, que incluye en su paquete. La mayoría de estos archivos le permiten manejar mensajes de error HTTP en sitios web (llamados mensajes de error HTTP amis...
40 años de videoconsolas
Los niños de hoy en día, cuando crezcan y miren al pasado, recordarán como su primera videoconsola la Wii, la Xbox 360 o incluso, los de familias más adineradas, la PlayStation 3, a parte de las portátiles Nintendo DS o PSP, pero esa es otra his...
Linux ya tiene película - REVOLUTION OS. Hackers, programadores y rebeldes unido
Revolution OS, es una película independiente, narrada en formato documental y que nos ofrece una visión diferente del fenómeno Linux....
Consejos para mejorar la privacidad en el trabajo
En los entornos laborales, la privacidad a la hora de utilizar la computadora y el acceso la red puede ser una cuestión bastante delicada, porque la forma en la cual utilizamos esos recursos podría llegar a ser hasta causal de despido. Aunque claro...
Doomjuice.A. La Variante del MyDOOM
Mientras las infecciones producidas por Mydoom.A apenas comienzan a disminuir, un nuevo gusano ha aparecido en escena aprovechándose de los daños producidos por el primero: Doomjuice.A....
Intypedia: Protocolo de reparto de secretos
Se encuentra disponible en intypedia la octava lección de la Enciclopedia de la Seguridad de la Información: Protocolo de reparto de secretos...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • asp
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • componente
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • net
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra