Vulnerabilidad en el componente ASP.NET de Microsoft


Un problema en el tratamiento de cookies en el componente ASP.NET puede dejar vulnerables a un ataque de desbordamiento de búfer a determinadas
aplicaciones desarrolladas bajo el entorno .NET de Microsoft.





ASP.NET es una colección de tecnologías de Microsoft destinadas a ayudar a los desarrolladores a construir aplicaciones web. En cualquier caso, las aplicaciones web, incluyendo las construidas mediante la utilización de ASP.NET dependen del protocolo http para proporcionar la conectividad. Una característica de este protocolo es que este no tiene información sobre el estado anterior, lo que quiere decir, que cada petición de una página de un usuario a un sitio es considerada como una nueva petición, independientemente de lo que haya ocurrido
anteriormente. Para compensar esto, ASP.NET proporciona una
administración del estado de la sesión a través de diferentes modos.

Uno de estos modos es el modo StateServer. A través de este modo, se
almacena la información del estado de la sesión en un proceso diferente.
Existe una vulnerabilidad de desbordamiento de búfer en una de las
rutinas que realiza el tratamiento de las cookies en el modo
StateServer.

Un ataque con éxito podrá provocar el reinicio de la aplicación ASP.NET.
Esto ocasionará que todos los usuarios de la aplicación web vean como
esta se cierra y pierdan todos los datos de la sesión en uso. Como
efecto más grave el atacante podrá lograr la ejecución de código en el
servidor afectado.

Como factores atenuantes se destacan que el modo StateServer no es el modo por defecto, además deberá hacer uso de cookies para que la aplicación sea vulnerable.

Microsoft ha publicado una actualización para evitar este problema que se puede descargar desde la siguiente dirección:
Microsoft .NET Framework version 1.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39298


Otras noticias de interés:

Java sufre un importante fallo de seguridad y los expertos aconsejan desactivarlo
La vulnerabilidad, que afecta a Java 7 (1.7) Update 10, permite la ejecución remota de código en el sistema afectado. Expertos en seguridad califican a este fallo de seguridad como muy grave y aconsejan a los usuarios que, hasta que no haya una sol...
Oracle publica por descuido prueba de concepto para MySQL
Oracle, actual propietario del software de base de datos MySQL publicó en marzo una serie de actualizaciones para la base de datos MySQL. En el boletín se anunció que se solventaban dos fallos de seguridad....
Engañosa privacidad de las fotos en #Facebook
Robar o sustraer una foto en Facebook es muy fácil: lo único que hay que hacer es arrastrar la imagen con el puntero a la barra de navegación (o abrir en ventana nueva) y así se puede obtener la dirección de la misma. ...
Nueva estrategia para lograr Computadoras Cuánticas
Una inusual observación en un laboratorio de física de la Universidad de Florida Central podría conducir con más rapidez a una nueva generación de computadoras cuánticas, capaces de revolucionar la tecnología de encriptación y dejar obsoletos...
Publicado el Service Pack 1 para Windows 7
Microsoft ha publicado el Windows 7 SP1 (Service Pack 1), que ya se encuentra disponible para descarga directa o desde Windows Update. ...
La estandarización del OOXML es una mierda.
El proceso fue una completa, total y auténtica mierda. Frase de Tim Bray, creador del XML que resume la semana de debate que se ha celebrado en Suiza. El prometido consenso ha sido un desastre, con 6 votos a favor, 4 votos en contra, 18 abstenciones...
El proyecto Samba recibe documentación de Microsoft
Microsoft firmó un acuerdo que hasta hace poco era impensable con el proyecto Samba. Con él pretende cumplir con las sanciones impuestas por la Comisión Europea por prácticas antimonopolio, en un dictamen que se remonta al 2004. ...
Una nueva forma de usar una vieja falla
Se ha publicado recientemente un exploit, que saca provecho de una vulnerabilidad que no es nueva, a pesar de lo que mencionan sus descubridores....
Oracle reduce su presupuesto para MySQL
La eliminación de las dos licencias más económicas de la base de datos y las subidas de precios por parte de Oracle podrían minar su uso....
México: Comisión Permanente rechaza ACTA
El pleno de la comisión permanente rechazó la firma del convenio ACTA por parte del gobierno federal, llevada a cabo el 11 de julio del presente año en Japón, ya que como se ha dicho en repetidas ocasiones, no se respetó lo dispuesto por la ley ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • asp
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • componente
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • net
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra