[English readers: you can find English links in this post for your convenience]

[Most Interested Audience: Web application developers]

Microsoft ha comunicato sabato il rilascio di un Security Advisory che segnala la fase di investigazione di una vulnerabilità di tipo Information Disclosure presente in tutte le versioni attualmente supportate di ASP.NET (Microsoft .NET Framework):

Microsoft Security Advisory (2416728) - Vulnerability in ASP.NET Could Allow Information Disclosure

MSRC post: Security Advisory 2416728 Released

SRD post: Understanding the ASP.NET Vulnerability

Al momento non vi sono attacchi noti che utilizzino questa vulnerabilità. In attesa del rilascio dell’aggiornamento correttivo, l’invito è alla valutazione delle protezioni temporanee che sono documentate nella sezione “Workarounds” del Security Advisory.

Aggiornamento del 21/09/2010: Il MSRC ha segnalato che si è a conoscenza di alcuni attacchi limitati, e dell’aggiornamento di alcune risposte di approfondimento:

MSRC post: Update to Security Advisory 2416728

SRD post: Additional Information about the ASP.NET Vulnerability

Microsoft SharePoint Team Blog > Security Advisory 2416728 (Vulnerability in ASP.NET) and SharePoint.

ScottGu’s Blog: Frequently Asked Questions about the ASP.NET Security Vulnerability

Pietro Brambati del team MSDN ha tradotto in italiano il post di Scott Guthrie:

Il blog del team MSDN Italia > Vulnerabilità della sicurezza di ASP.NET: domande frequenti

Aggiornamento del 27/09/2010: Nuovo aggiornamento del Security Advisory per segnalare la necessità di aggiungere un passo ulteriore alle azioni da implementare come workaround:

MSRC post: Security Advisory 2416728 - Workaround Update

ScottGu’s Blog: Update on ASP.NET Vulnerability

Pietro Brambati su MSDN Italia: Aggiornamento sulla vulnerabilità di ASP.NET

Feliciano

Other related posts/resources: