Lire la suite sur GNTSans attendre le prochain Patch Tuesday, Microsoft anticipe la publication d'un correctif afin de combler une vulnérabilité dans ASP.NET.
Mi-septembre, Microsoft avait confirmé l'existence d'une vulnérabilité de sécurité dans ASP.NET. La firme de Redmond avait alors expliqué que ASP.NET utilise un chiffrement pour cacher et protéger des données sensibles d'une manipulation par le client, mais que via cette faille dans l'implémentation du chiffrement ASP.NET, un attaquant peut déchiffrer et manipuler ces données.
Assez rapidement, Microsoft a également confirmé les premières attaques jugées limitées et a publié un avis de sécurité : " un attaquant peut voir des données telles que ViewState ( mais aussi des cookies ), chiffrées par le serveur cible, ou lire des données à partir de fichiers sur le serveur cible comme des fichiers Web.config. L'attaquant peut falsifier le contenu des données. En renvoyant le contenu modifié à un serveur affecté, il peut observer les codes d'erreur renvoyés par le serveur ".
Pour combler cette faille, Microsoft a procéder à la publication en urgence d'un correctif, sans attendre donc le prochain Patch Tuesday.
@+
