Alguns minutos atrás a Microsoft lançou um boletim de notificação de segurança anunciando que estamos liberando uma atualização de segurança para resolver uma vulnerabilidade de Segurança da ASP.NET.
Atualização do dia 29 de Dezembro:
a atualização de segurança (MS11-100) foi distribuída agora e está
disponível para ser instalada via Windows Update, Windows Server Update
Service e como um download a partir do site Microsoft Download Center.
A
atualização de segurança que estamos liberando resolve um problema de
Denial of Service (Negação de Serviço) que foi divulgado publicamente e
que está presente em todas as versões da ASP.NET. Não temos notícias de
qualquer ataque realizado aos clientes da ASP.NET que utilize esta
falha, mas nós incentivamos os clientes a implantar a atualização o mais
cedo possível.
Estamos lançando a atualização de segurança
através do Windows Update e do Windows Server Update Service. Você
também pode baixar manualmente e instalá-la através do Microsoft
Download Center. Vamos lançar a atualização na Quinta-feira, 29 de Dezembro às 10 horas da manhã, horário do Pacífico (EUA e Canadá). Estamos fazendo o anúncio previamente para assegurar que os
administradores saibam que a atualização de segurança está chegando, e
para que estejam preparados para aplicá-la, uma vez que ela estiver
disponível.
Mais Informações sobre a Vulnerabilidade de Segurança
Em
28 de Dezembro de 2011, detalhes foram publicados em uma conferência de
segurança, os quais descrevem um novo método para explorar estruturas
de dados do tipo hash-table que são amplamente usadas em frameworks
web. Ataques contra esse tipo de vulnerabilidade são genericamente
conhecidos como "hash collision attacks" (ataques de colisão de hash).
Ataques
de colisão de hash tentam preencher uma hash-table dentro de uma
aplicação do servidor com um grande número de itens cujas chaves apontam
para o mesmo código hash. Essas colisões de chave podem desacelerar
significativamente as operações na hash-table e com elementos
suficientes pode fazer com que um servidor gaste minutos (ou até mesmo
horas) para processá-los. Isso pode bloquear um servidor web de maneira
que o mesmo não consiga mais processar as solicitações de outros
usuários, causando uma negação de serviço (ou seja, o site torna-se
lento e pára de responder às solicitações dos usuários).
Ataques
como esses não são específicos a qualquer linguagem de programação ou
sistema operacional. Palestrantes na conferência de segurança
discutiram como causar os ataques utilizando posts padrão de um
formulário HTTP contra diversos frameworks web diferentes (incluindo
ASP.NET). Tendo em vista que esses ataques a frameworks web podem criar
problemas de negação de serviço com relativamente poucas solicitações
HTTP, há uma grande probabilidade de ataques acontecerem usando essa
abordagem. Nós fortemente incentivamos os clientes a implantarem a
atualização o mais cedo possível.
A atualização de segurança que
estamos liberando na Quinta-feira 29 de Dezembro atualiza a ASP.NET para
que os invasores não consigam mais realizar esses ataques. A
atualização de segurança não exige qualquer mudança no código ou na
aplicação.
Aprenda Mais
Você pode aprender mais sobre essa vulnerabilidade de segurança no Informativo de Segurança da Microsoft (2659883)
que já liberamos. Vamos lançar a atualização de segurança no Windows
Update, no Windows Server Update Service e no Microsoft Download Center
na Quinta-feira 29 de Dezembro, aproximadamente às 10:00 da manhã na Hora do Pacífico (EUA e Canadá).
Atualização de 29 de Dezembro:
a atualização de segurança (MS11-100) foi enviada agora e está
disponível para instalar via Windows Update, Windows Server Update
Service e como um download a partir do Microsoft Download Center.
Se
você tiver dúvidas sobre a vulnerabilidade ou se tiver quaisquer
problemas ao aplicar a atualização, você pode postar perguntas no fórum
de vulnerabilidades de segurança (em Inglês) no website www.asp.net.
Para as últimas informações, você pode também acompanhar a equipe MSRC no Twitter em @MSFTSecResponse (em Inglês).
Espero que ajude,
Scott
Texto traduzido do post original por
Leniel Macaferi.
