Ciao a tutti e buone feste! Ieri Microsoft ha rilasciato il Security Update MS11-100 per risolvere la vulnerabilià descritta nel Security Advisory 2659883, che sfortunatamente non ho avuto tempo di recensire (a differenza dei miei colleghi di Redmond, sono in ferie in Italia :).

Questo aggiornamento è classificato Critico e risolve una vulnerabilità pubblica che permette ad un utente malintenzionato di effettuare degli attacchi Denial of Service verso server che supportano ASP.NET 1.1, abbracciando tutte le versioni supportate di .NET Framework. C'è da notare che la nuova tecnica di hash collision attack usata per sfruttare questa vulnerabilità non è efficace solo contro prodotti Microsoft ma è industry-wide e colpisce diverse piattaforme Web, ASP.NET incluso.

Sebbene non abbiamo rilevato nessun tentativo d'attacco, incoraggiamo gli utenti ad installare l'aggiornamento il prima possibile. Ricordiamo che gli utenti maggiormente esposti a tale problematica sono quelli che ospitano un server Web che supporta la tecnologia ASP.NET. Maggiori dettagli (in inglese) sono disponibili in un blog post pubblicato sul Security Research & Defense Blog.

Ovviamente se avete bisogno di maggiori informazioni o avete domande, non esitate a contattarmi.

Approfitto di questo blog post per augurare buon anno a tutti i lettori, e per darvi appuntamento al 10 Gennaio con il primo aggiornamento del 2012.

Gerardo Di Giacomo
Security Program Manager - MSRC