Overslaan en naar de inhoud gaan

Microsoft patcht lek in ASP.Net

De dinsdag uitgegeven patch rekent af met een kwetsbaarheid in de versleuteling van ASP.Net, het veel gebruikte applicatieframework van Microsoft voor de inrichting van websites en webapplicaties.
Tech & Toekomst
Shutterstock
Shutterstock

Door een softwarebug kunnen kwaadwillenden zichzelf volledige beheerdersrechten toeëigenen en zo toegang krijgen tot applicaties en bestanden op webservers die op Internet Information Server (IIS) draaien. Ook zouden aanvallers versleutelde gegevens, waaronder cookies die tijdens bezoekerssessies worden gebruikt, kunnen ontcijferen. Volgens deskundigen geeft de ASP.Net-software in foutmeldingen te veel informatie prijs, waardoor kwaadwillenden kans zien om met ‘brute kracht’ de encryptie te doorbreken.

Het bestaan van het lek kwam aan het licht tijdens Ekoparty 2010, een conferentie over IT-security in Buenos Aires. Drie dagen na de bevestiging door Microsoft op 17 september waarschuwde het bedrijf dat er op beperkte schaal aanvallen waren waargenomen die profiteerden van de kwetsbaarheid. Op dat moment kon Microsoft alleen een ‘workaround’ adviseren om de risico’s in te dammen. De nu beschikbaar gekomen patch, beschreven in security bulletin MS10-070, moet een structurele oplossing bieden.

De hoogste kwalificatie die een beveiligingsprobleem kan krijgen is ‘kritiek’. Microsoft duidt de patch voor het lek in ASP.Net aan als ‘belangrijk’. Niettemin was het gevaar kennelijk groot genoeg om een tussentijdse patch (‘out of band’) uit te geven, buiten de gangbare patchsalvo’s op de tweede dinsdag van de maand. De eerstvolgende patchronde staat gepland voor 12 oktober.

Ongebruikelijk is dat Microsoft de update vooralsnog niet via Windows Update aanbiedt, waardoor hij automatisch zou worden binnengehaald. De patch is nu alleen beschikbaar bij het Download Center van Microsoft en moet handmatig worden opgehaald en geïnstalleerd. Microsoft zegt hiervoor te hebben gekozen zodat bedrijven en service providers direct kunnen beginnen met het updaten van hun servers. Later komen daar Windows Update en Windows Server Update Services (WSUS) als distributiekanalen bij.

De patch is bedoeld voor alle nog ondersteunde Windows-versies, uiteenlopend van Windows XP SP3 tot Windows 7, en van Windows Server 2003 tot aan Windows Server 2008 R2. Desktop-pc’s lopen in de meeste gevallen geen gevaar. Alleen als zo’n pc ook als server wordt gebruikt, is het raadzaam de patch te installeren.

Gerelateerde artikelen
Gerelateerde artikelen

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in