Noticias
Grave vulnerabilidad en ASP.NET
El software de Microsoft ASP.NET es utilizado en un gran número de páginas web. Unos investigadores de seguridad han descubierto un problema en el método que implementa de cifrado AES y podría dejar al descubierto los datos de los usuarios. La vulnerabilidad y el exploit utilizado serán demostrados esta semana en Ekoparty Conference, donde sus descubridores mostrarán la gravedad de dicha vulnerabilidad.
El software de Microsoft ASP.NET es utilizado en un gran número de páginas web. Unos investigadores de seguridad han descubierto un problema en el método que implementa de cifrado AES y podría dejar al descubierto los datos de los usuarios. La vulnerabilidad y el exploit utilizado serán demostrados esta semana en Ekoparty Conference, donde sus descubridores mostrarán la gravedad de dicha vulnerabilidad.
Thai Duong y Juliano Rizzo son los investigadores que han descubierto el problema y han creado un ataque a modo demostrativo, que, argumentan es 100% efectivo. También han comentado que sabían que ASP.NET era vulnerable a este tipo de ataques hace varios meses, pero no sabían exactamente cómo de serio era el problema, hasta hace un par de semanas.
MCPRO Recomienda
En palabras textuales, "el ataque destruye la seguridad de ASP.NET". Según parece, el ataque utiliza una técnica usada en exploits desde 2002 y se aprovecha del sistema de generación de mensajes de error de ASP.NET cuando se cifra datos con una cookie modificada. El mensaje de error ofrece una pequeña parte de información descifrada lo que da una idea de la clave, y si tenemos el suficiente número de mensajes de error se conseguirían descifrar los datos completamente.
El ataque tiene un tiempo medio de 30 segundos y argumentan que es completamente efectivo. Microsoft no ha querido comentar nada al respecto de momento.
- Notas de prensaHace 5 días
Aruba anuncia nuevas funcionalidad en su plataforma Aruba ESP para proporcionar a las empresas seguridad desde el extremo a la nube
- NoticiasHace 6 días
NVIDIA presenta su CPU Grace, diseñada para IA y servidores
- A FondoHace 6 días
Dynabook Tecra A40-G-123: un todoterreno para la empresa
- NoticiasHace 6 días
Confirmado: Microsoft compra Nuance Communications por 19.700 millones