Microsoft corrige 4 vulnerabilidades .NET


Microsoft publicó un último boletín de seguridad antes de acabar el año. El aviso MS11-100, publicado el jueves 29 de diciembre, se aparta de la norma de publicación de boletines de seguridad los segundos martes de cada mes a la que acostumbra esta compañía. Esto es debido al carácter crítico de las vulnerabilidades y a que una de ellas se ha divulgado públicamente.





En total el boletín corrige cuatro vulnerabilidades que afectan a .NET Framework en todas sus versiones. A continuación se exponen dichas vulnerabilidades ordenadas por sus identificadores CVE.

CVE-2011-3414: Se trata de la vulnerabilidad ya comentada en la una-al-dia anterior en relación con la forma en que ASP.NET Framework trata peticiones específicamente construidas, que puede causar colisiones hash, y con ello un incremento del consumo de los recursos del sistema. Esto podría ser utilizado por un atacante remoto para provocar condiciones de denegación de servicio.

CVE-2011-3415: Existe un fallo en la comprobación de las direcciones URL de retorno durante el proceso de autenticación de formularios en .NET Framework. Un atacante remoto podía aprovechar esta vulnerabilidad para revelar información sensible al redirigir a un usuario a un sitio web diferente sin el conocimiento de este, a través de un enlace especialmente manipulado.

CVE-2011-3416: Un fallo en la forma en que.NET Framework autentica a los usuarios podría ser utilizado por un atacante remoto para elevar privilegios a través de una petición web especialmente manipulada. Para aprovechar esta vulnerabilidad, el atacante debe registrar una cuenta en la aplicación ASP.NET, y conocer el nombre de la cuenta de usuario a la que pretende acceder.

CVE-2011-3417: Una última vulnerabilidad en la forma en que ASP.NET maneja el contenido almacenado en caché cuando se utiliza la autenticación de formularios con pérdida de deslizamiento activada. Esto podría ser aprovechado por un atacante remoto para elevar privilegios a través de un enlace especialmente manipulado.

Los parches que corrigen las vulnerabilidades anteriores pueden descargarse desde el propio boletín de Microsoft, o a través de Windows Update. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más información:

Microsoft Security Bulletin MS11-100 – Critical
Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2638420)
http://technet.microsoft.com/en-us/security/bulletin/ms11-100

Fuente:
Por Juan José Ruiz
http://www.hispasec.com



Otras noticias de interés:

Leet speak, la jerga de los informáticos!
Leet speak o leet (1337 5p34k o 1337 en la escritura leet) es un tipo de escritura con caracteres alfanuméricos usado por algunos grupos de personas caracterizadas por tener un gran conocimiento en informática, o por algunas comunidades y usuarios ...
Hackeado Google Pack
Poco despues de la aparición de Google Pack, ya algunos hackers han publicado los binarios correspondientes a Google Screensaver que nos permite bajárnoslo e instalarlos como cualquier otro salvapantallas de los que tenemos ...
Nueva versión OpenOffice 3.0.1
El equipo de desarrollo de la suite de ofimática OpenOffice anuncia el lanzamiento de la versión 3.0.1 de OpenOffice, en esta versión se han mejorado tanto la estabilidad como ciertos problemas de la misma y a su vez se integran nuevas caracterís...
10 claves para una adecuada recuperación ante desastres
En la gestión de la seguridad hay un capítulo de especial importancia. Este capítulo es el que habla de recuperación ante desastres, un concepto que tiene que ir asociado de una manera biyectiva a otro concepto de igual interés en el gobierno...
SEO para tu sitio web parte I
Cuando creamos o modificamos nuestro sitio web debemos tener presente algunos aspectos importantes que ayudarían a su posicionamiento en los buscadores más relevantes: Google, Bing, Yahoo. Aunque existen más buscadores estos son los principales y ...
Firefox y Opera, vulnerables a fuga de información
Opera y Firefox contienen código vulnerable para el manejo de archivos BMP. El problema permite que un atacante genere un archivo en este formato, modificado para obtener datos de la memoria utilizada por estos navegadores. Esta información puede s...
Document Freedom Day, ¿estás seguro de que tu .doc será legible en 10 años?
El Document Freedom Day (DFD), a celebrarse el próximo miércoles 31 de marzo, será el día dedicado a la liberación de documentos; es decir, será el día dedicado a dar a conocer la importancia de los formatos y estándares abiertos en la creaci...
Geolocalización, aliada de los ciberdelincuentes
Los cada vez más abundantes servicios que utilizan la geolocalización, así como la confianza de los usuarios revelando información a través de las redes sociales, son armas utilizadas por los delincuentes para preparar ataques más concretos y d...
ISO rechaza las apelaciones sobre OOXML
Las organizaciones ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) han decidido desestimar las apelaciones de Brasil, India, Sudáfrica y Venezuela sobre la aprobación del formato de Microsoft O...
Un modelo computacional imita la visión cerebral en contextos complejos
Permitirá construir robots capaces de ver tal como lo hace el cerebro. ngenieros del Instituto Tecnológico de Massachusetts (MIT) han desarrollado un modelo computacional que imita la manera en que el cerebro humano procesa la información visual y...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • corrige
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • net
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra