[MàJ] ASP.NET : Microsoft publie un patch en urgence

Le par  |  1 commentaire(s)
Logo Microsoft Pro

Sans attendre le prochain Patch Tuesday, Microsoft anticipe la publication d'un correctif afin de combler une vulnérabilité dans ASP.NET.

Logo Microsoft ProMi-septembre, Microsoft avait confirmé l'existence d'une vulnérabilité de sécurité dans ASP.NET. La firme de Redmond avait alors expliqué que ASP.NET utilise un chiffrement pour cacher et protéger des données sensibles d'une manipulation par le client, mais que via cette faille dans l'implémentation du chiffrement ASP.NET, un attaquant peut déchiffrer et manipuler ces données.

Assez rapidement, Microsoft a également confirmé les premières attaques jugées limitées et a publié un avis de sécurité : " un attaquant peut voir des données telles que ViewState ( mais aussi des cookies ), chiffrées par le serveur cible, ou lire des données à partir de fichiers sur le serveur cible comme des fichiers Web.config. L'attaquant peut falsifier le contenu des données. En renvoyant le contenu modifié à un serveur affecté, il peut observer les codes d'erreur renvoyés par le serveur ".

Pour combler cette faille, Microsoft a procéder à la publication en urgence d'un correctif, sans attendre donc le prochain Patch Tuesday. Ce correctif est à destination de toutes les versions de .NET Framework lorsqu'il est utilisé sur les systèmes d'exploitation Windows Server. Dans le bulletin de sécurité MS10-070, on pourra constater que tous les systèmes Windows de bureau sont affectés dont XP, Vista et 7, mais la vulnérabilité n'est effective que dans le cadre de l'exécution d'un serveur Web.

La mise à jour n'est pour le moment uniquement disponible que dans le centre de téléchargement de Microsoft. Elle sera diffusée ultérieurement par le biais des services Windows Update et Windows Server Update. Un choix assez surprenant mais qui a probablement dû permettre une publication plus rapide. Gage aux administrateurs concernés notamment de déployer la mise à jour manuellement.


MàJ : le correctif a intégré les services de mise à jour automatique jeudi.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #694191
La MAJ a été publiée dans WSUS : elle était dans mon WSUS ce matin.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]