ASP.NET, una patch d'emergenza

Microsoft distribuisce la pezza per una falla recentemente individuata. Gli attacchi avevano iniziato a fioccare. Ma la falla è strutturale, e non riguarda solo il framework di Redmond

Roma – In una mossa alquanto inusuale per le metodologie con cui a Redmond sono soliti gestire le vulnerabilità dei software e dei sistemi operativi, nelle scorse ore Microsoft ha distribuito una patch di sicurezza straordinaria pensata per chiudere un buco individuato nel framework di sviluppo web ASP.NET e fermare gli attacchi registrati nel corso dell’ultima settimana.

La falla è stata in precedenza descritta nell’ advisory numero 2416728 , mentre la patch ora pubblicata con il bollettino MS10-070 rende di fatto inutili le soluzioni tampone indicate nel suddetto advisory. La principale particolarità della patch, comunque, risiede nel fatto che essa si riferisca a una vulnerabilità classificata come “importante” dai tecnici di Redmond, mentre in genere le pezze rilasciate fuori dal tradizionale ciclo del secondo martedì del mese riguardano solo vulnerabilità “critiche”.

Il problema affrontato – e augurabilmente risolto – dal bollettino MS10-070 riguarda il sistema di cifratura dei dati impiegato da ASP.NET, un meccanismo che per quanto protegga l’integrità delle informazioni può comunicare dati cruciali sulla suddetta cifratura attraverso i messaggi di errore inviati al server. Analizzando tali messaggi – e le informazioni extra inviate agli algoritmi di cifratura per raggiungere il giusto multiplo di 8 o 16 byte – un malintenzionato potrebbe individuare le chiavi necessarie a decifrare i contenuti protetti o anche a codificarne a propria volta .

La falla corretta dalla nuova patch di Microsoft è di quelle di tipo “strutturale”, e non coinvolge solo ASP.NET ma anche altri popolari framework di sviluppo telematico come Apache MyFaces e Ruby On Rails, e persino alcuni sistemi CAPTCHA . Il problema è noto sin dal lontano 2002, ma solo da alcuni giorni Microsoft ha registrato una serie di “attacchi limitati” ad ASP.NET che l’hanno spinta a intervenire anzitempo.

E visto che nel mondo Windows le vulnerabilità di sicurezza non sono mai troppe, per una falla che viene corretta un’altra viene disvelata all’interno del componente ActiveX msnetobj.dll . La libreria fa parte dei meccanismi DRM integrati nel sistema operativo ed è pensata per prevenire il salvataggio o la visualizzazione non autorizzata di alcuni file sotto certe condizioni e circostanze limitate. Il DRM protegge i file blindati dagli utenti ma in compenso regala a questi ultimi tre vulnerabilità tre , con altrettante possibilità di attacco tramite denial of service , buffer overflow e/o integer overflow .

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • il solito bene informato scrive:
    incredibile...
    Ci convinceranno ad aver paura della nostra stessa ombra...Il mondo è sXXXXX ! dobbiamo "mettercelo via".Ci saranno sempre batteri, virus, parassiti che cercheranno di prendere il sopravvento nel nostro corpo e non credo che sterilizzare tutto sia la soluzione quanto, anzi, un aggravare il problema.
  • LaNberto scrive:
    attenti al giardinaggio
    non si sa mai, a mettere le mani nella terra... :D
  • Yogasadhaka scrive:
    Invece le tastiere e i mouse...
    Invece le tastiere e i mouse sono pulitissimi... :-)
  • pietro scrive:
    un dubbio
    non capisco il perchè questo accanimento con gli smartphone, non sono uguali da questo punto di vista agli altri telefoni? Mi viene da pensare, ma forse sbaglio, che i possessori di smartphone sono visti come persone più abbienti e quindi disposti a spendere di più per qualsiasi azzata proponga il mercato
    • rover scrive:
      Re: un dubbio
      Secondo me uno smartphone senza tastiera e con pochi tasti fisici è molto più sano di una tastiera o di un mouse.Credo di non essere l'unico a pensarla così
  • Mettiuz scrive:
    Affidabile...
    Quindi un'azienda specializzata nella vendita di prodotti per l'igiene mi dice che il cellulare è sporchissimo e necessito del loro arnese? è come andare da un meccanico e chiedere se è più sicuro cambiare le pasticche dei freni al momento del tagliando o una volta a settimana, cosa risponderà mai?
    • Kralizec scrive:
      Re: Affidabile...
      Più che altro inutile, appena lo si prende in mano la sterilità è già scomparsa, figurarsi dopo averlo messo in tasca o appoggiato su una superficie. A meno che uno non presti abitualmente il cellulare a gente affetta da colera....!
  • Pippo scrive:
    Mmmmm
    Raggi UV e memorie... Cattiva ccoppiata...
    • bertuccia scrive:
      Re: Mmmmm
      - Scritto da: Pippo
      Raggi UV e memorie... Cattiva ccoppiata...oh mamma cosa tocca leggereguarda che l'esposizione del die della eprom deve essere direttanumero 2: ma chi cacchio usa più le epromLOL siamo proprio su PI
Chiudi i commenti