Het lek werd vorige week bekend gemaakt door de onderzoekers Thai Duong en Juliano Rizzo. Zij vermoedden dat deze kwetsbaarheid grote gevolgen kon gaan hebben.

Die vrees is gebaseerd op het feit dat 25 procent van alle webapplicaties is gebaseerd op Microsofts ASP.NET en het relatieve gemak van succesvol misbruik van dit lek. Een aanvaller kan gegarandeerd binnen een maximum van 50 minuten binnendringen. Gemiddeld ligt de inbraaktijd op 30 minuten.

Wild

Nu heeft Microsoft in een blogpost aangegeven dat het lek in het wild uitgebuit begint te worden. Het misbruik is echter op dit moment nog beperkt, volgens Microsoft. De Security Advisory is geüpdate met die informatie.

Openbaarmaking

Microsoft geeft in de post ook aan niet blij te zijn met de openbaarmaking van lekken als deze. Ze sporen aan om dit soort informatie gecoördineerd naar buiten te brengen. Daarmee doelt de softwareproducent op zijn nieuwe initiatief om beveiligingslekken in software te melden aan de producent en die dan samen voor een bepaalde tijd stil te houden.

De geschiedenis heeft volgens Microsoft namelijk aangetoond dat de kansen op uitbuiting van een lek gigantisch omhoog schieten wanneer de details publiekelijk naar buiten gebracht worden. Het bedrijf was duidelijk niet al te extatisch met de informatiestrooisels van Duong en Rizzo.

Fix

Microsoft gaf al een tijdelijke oplossing uit voor het lek in het .NET framework. Wanneer er een volwaardige patch komt is nog niet bekend. De eerstvolgende reguliere patch Tuesday is in elk geval op 12 oktober 2010.

Bron: Techworld