شماره: IRCNE201009891
مايكروسافت در مورد وجود يك آسيب پذيري بسيار خطرناك در ASP.NET كه براي ايجاد وب سايت به كار مي رود، به كاربران هشدار داد.
حفره امنيتي مذكور بر روي همه نسخه هاي .NET framework اثر گذاشته و همچنين سيستم عامل هاي ويندوز XP، ويستا، ويندوز 7 و ويندوز سرور 2007 و 2008 را نيز تحت تأثير قرار مي دهد.
در راهنمايي امنيتي مايكروسافت در اين مورد آمده است:
" تا كنون هيچ گزارشي مبني بر حمله با سوءاستفاده از اين آسيب پذيري را دريافت نكرده ايم، ولي به مشتريان خود توصيه مي كنيم راهنمايي امنيتي را براي استفاده از راهكارهاي كاهش خطر و گردش كاري مورد مطالعه قرار دهند."
مايكروسافت همچنين يك اسكريپت را ارائه كرده است تا مديران وب سايت با استفاده از آن بفهند آيا برنامه هاي ASP.NET آنها آسيب پذير هست يا خير.
بنا بر اطلاعات ارائه شده توسط مايكروسافت آسيب پذيري بر اثر ارائه جزئيات در پيغام خطايي كه به مشتريان وب سايت هاي ASP.NET نشان داده مي شود، به وجود آمده است. پيغام مذكور در صورت بروز خطا در رمزگشايي از يك پيغام رمز شده خاص نمايش داده مي شود. فرد مهاجم مي تواند داده هايي كه بر روي سرور رمزنگاري شده اند را مشاهده كرده و يا در آنها مداخله كند. وي همچنين مي تواند برخي داده هاي فايل ها بر روي سرور مقصد را مشاهده كند.
راهنمايي امنيتي مايكروسافت بعد از آن منتشر شده است كه دو محقق امنيتي درباره آسيب پذيري مذكور در كنفرانس امنيتي بوينوس آيرس مطالبي را ارائه دادند.
بنا بر گفته يكي از محققان امنيتي مذكور، سوءاستفاده از آسيب پذيري مذكور بر روي 25 درصد از وب سايت هاي موجود در اينترنت اثر مي گذارد و نتايج آن بستگي به برنامه هاي نصب شده بر روي سرور دارد. پيامدها مي تواند از افشاي اطلاعات تا در اختيار گرفتن كامل سيستم قرباني متغير باشد.
- 6