Microsoft: cento bollettini nel 2011

Individuata una lacuna in ASP.NET e, in particolare, nell’elaborazione dei dati POST inviati dall’oggetto Request.Form. I malintenzionati potrebbero sfruttare la lacuna per produrre un sovraccarico delle risorse macchina. E Microsoft corre al riparo…

Sembrava che il 2011 dovesse chiudersi, per Microsoft, con il rilascio di 99 bollettini di sicurezza, come avevamo concluso in questo nostro articolo. I tecnici del colosso di Redmond, invece, hanno ritenuto opportuno rilasciare il centesimo aggiornamento (MS11-100) appena prima della fine dell'anno. La sua applicazione è indispensabile per la risoluzione di alcune vulnerabilità critiche individuate in tutte le versioni del pacchetto .Net Framework. La MS11-100 è una patch "out-of-band", dal momento che non è stata resa disponibile in occasione del "patch day" mensile (il secondo martedì del mese), giorno scelto da Microsoft per la pubblicazione degli aggiornamenti di sicurezza per Windows e per le sue applicazioni.

La vulnerabilità che ha spinto Microsoft al rilascio "out-of-band" è stata l'individuazione di una lacuna in ASP.NET e, in particolare, nell'elaborazione dei dati POST inviati dall'oggetto Request.Form. Secondo quanto scoperto dai ricercatori tedeschi di n-runs, un aggressore potrebbe sfruttare la lacuna per produrre un sovraccarico delle risorse macchina (ad esempio, processore e memoria di un server Web) provocando un attacco DoS (Denial of Service). In tale circostanza, tutti i siti Web ospitati sul server preso di mira diverrebbero irraggiungibili.

Come spiega Feliciano Intini (Microsoft), la società guidata da Steve Ballmer ha approfittato del "rilascio natalizio" per includere nel medesimo bollettino la correzione di altre tre vulnerabilità segnalate privatamente.

Maggiori dettagli sono disponibili a questo indirizzo. Sebbene la patch sia d'importanza cruciale per chi gestisce server Web e utilizza ASP.NET, l'applicazione dell'aggiornamento è caldamente consigliata a tutti gli utenti Windows.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here