Microsoft brengt noodpatch voor kritiek ASP.net lek
Gepubliceerd: Dinsdag 28 september 2010
Auteur: Chris Broesder
Microsoft brengt een patch uit voor het lek in ASP.net buiten de reguliere updates om. Het bedrijf zegt dat er beperkt misbruik van wordt gemaakt, maar het probleem is serieus genoeg om direct actie te ondernemen. De patch wordt eerst in het Download Center aangeboden.
Onderzoekers demonstreerden eerder deze maand hoe cookies van versleutelde sessies en zelfs logingegevens gestolen kunnen worden die verstuurd worden via een ASP.net applicatieserver.
Microsoft Download Center
Microsoft gaf eerder al een workaround uit voor het lek, en het waarschuwde al snel voor aanvallen in het wild. Reden genoeg, volgens Microsoft, om alvast een patch in het Download Center aan te bieden voordat de fix mee gaat met de automatische updates. Zo kunnen gebruikers bij grote organisaties de patch testen, alvorens ze hem uitrollen in het gehele bedrijf.
Sneller soelaas
"Via het Download Center kunnen we de patch zo snel mogelijk bij de gebruikers krijgen. Zowel beheerders als eindgebruikers die hem willen installeren kunnen direct gaan testen en downloaden", aldus Microsoft in een blogpost. Het bedrijf "spoort deze gebruikers aan om de update zo snel mogelijk te installeren." Eindgebruikers zijn veilig, tenzij ze een webserver hebben draaien.
De patch staat gepland voor 19.00 vanavond. Wanneer hij meegaat in de automatische updates is officieel nog onbekend, maar de patch wordt volgens Microsoft vervolgens binnen een paar dagen via de gewoonlijke distributiekanalen uitgegeven. De eerstvolgende patch tuesday vindt 12 oktober plaats.
Bron: Techworld
