ACTUALIZACION: Este boletín solo va a estar disponible por el momento a través de download directo en el Microsoft  Download Center. Se espera que en los próximos dias esté disponible a través de Windows Update, Microsoft Update, WSUS, System Center Configuration Manager, MBSA y SMS ITMU/SUSFP. 

 

Hola, les escribe Roberto Arbeláez.

Hoy, como parte del compromiso continuo de Microsoft de proteger a sus clientes con actualizaciones de seguridad y guía de acuerdo al más reciente panorama de amenazas, la compañía está liberando la actualización MS10-070 como una actualización de seguridad fuera de banda.

La actualización hace frente a una vulnerabilidad en ASP.NET, como se describe en el Documento informativo de Seguridad 2416728, y tiene una clasificación de gravedad máxima de Importante y una clasificación de índice de explotabilidad de 1. Como se describe en el boletín, la vulnerabilidad afecta a ASP.NET framework en Windows XP, Windows Vista, Windows 7, y Windows Server 2003 y 2008 y Windows Server 2008 R2.

Ya en este mismo blog habíamos descrito anteriormente en detalle las soluciones temporales (workrounds) propuestos, pero esta actualización ya soluciona definitivamente esta vulnerabilidad por lo que les recomendamos instalarla lo más pronto posible, para ayudar a proteger sus computadoras de ataques criminales.

Por favor, vea el blog Microsoft Security Response Center (MSRC) para obtener más detalles.

 

DESCRIPCIÓN GENERAL DEL NUEVO BOLETÍN DE SEGURIDAD

Microsoft publicará un nuevo boletín de seguridad (fuera de banda) para vulnerabilidades recientemente descubiertas:

 

ID del boletín

Título del boletín

Clasificación de gravedad máxima

Impacto de la vulnerabilidad

Requisito de reinicio

Software afectado

MS10-070

La vulnerabilidad en ASP.NET podría permitir la divulgación de información (2418042)

Importante

Divulgación de información

Puede requerir un reinicio

Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, y Windows Server 2008 R2.

Nota: La lista anterior de software afectado es un resumen. Para ver la lista completa de los componentes afectados por favor haga clic en el vínculo que aparece en la columna izquierda para revisar la sección "Software afectado".

RESUMEN EJECUTIVO

Esta actualización de seguridad resuelve una vulnerabilidad conocida públicamente en ASP.NET. La vulnerabilidad podría permitir la divulgación de información. Un atacante que explotara exitosamente esta vulnerabilidad podría leer información, tal como el ver estado, el cual fue encriptado por el servidor. Esta vulnerabilidad también puede usarse para alteración de información, la cual, si se explota con éxito, podría usarse para descifrar y alterar la información encriptada por el servidor. Las versiones de Microsoft .NET Framework anteriores a Microsoft .NET Framework 3.5 Service Pack 1 no se ven afectadas por la parte de divulgación de contenido de archivos de esta vulnerabilidad.

Esta actualización de seguridad está clasificada como Importante para todas las ediciones soportadas de ASP.NET excepto Microsoft .NET Framework 1.0 Service Pack 3. La actualización de seguridad hace frente a la vulnerabilidad firmando adicionalmente toda la información encriptada por ASP.NET.

Esta actualización de seguridad también hace frente a la vulnerabilidad descrita inicialmente en el Documento informativo de Seguridad 2416728.

Webcast DEL BOLETÍN PÚBLICO

Microsoft ofrecerá un Webcast en Español para sus clientes en Latinoamérica, para responder a todas las preguntas  sobre estos boletines:

Título: Información sobre el Boletín de Seguridad Fuera-de-Banda de Microsoft de Septiembre 2010 (OOB) (Nivel 200)

Fecha: Miércoles, 29 de septiembre de 2010, 11:30 A.M. GMT -05 (Bogotá, México, Quito, Lima)

URL: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032464269&Culture=es-AR

RECURSOS PÚBLICOS RELACIONADOS CON ESTA ALERTA

·         Boletín de Seguridad MS10-070 – Vulnerabilidad en ASP.NET podría permitir la divulgación de información (2418042):   http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-070.mspx

·         Documento Informativo de seguridad 2416728 – Vulnerabilidad en ASP.NET podría permitir la divulgación de información:  http://www.microsoft.com/latam/technet/seguridad/alerta/2416728.mspx      

·         Blog del Microsoft Security Response Center (MSRC): http://blogs.technet.com/msrc/

·         Blog del Microsoft Security Research & Defense (SRD): http://blogs.technet.com/srd/

·         Blog del Microsoft Malware Protection Center (MMPC): http://blogs.technet.com/mmpc/

DETALLES TÉCNICOS DEL NUEVO BOLETÍN DE SEGURIDAD

En las siguientes tablas del software afectado y no afectado, las ediciones de software que no se incluyen en la lista superaron su ciclo de vida de soporte. Para determinar el ciclo de vida de soporte de su producto y edición, visite el sitio Web Ciclo de vida de soporte de Microsoft en http://support.microsoft.com/lifecycle/.

 

Identificador de boletín

Boletín de seguridad de Microsoft MS10-070

Título del boletín

La vulnerabilidad en ASP.NET podría permitir la divulgación de información (2418042)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente en ASP.NET. La vulnerabilidad podría permitir la divulgación de información. Un atacante que explotara exitosamente esta vulnerabilidad podría leer información, tal como el ver estado, el cual fue encriptado por el servidor. Esta vulnerabilidad también puede usarse para alteración de información, la cual, si se explota con éxito, podría usarse para descifrar y alterar la información encriptada por el servidor.

 

Note que esta vulnerabilidad no permitiría a un atacante ejecutar código o elevar sus derechos de usuario directamente, pero podría usarse para producir información que podría usarse para comprometer al sistema afectado. En Microsoft .NET Framework 3.5 Service Pack 1 y versiones posteriores, esta vulnerabilidad puede ser usada también por un atacante para obtener el contenido de cualquier archive dentro de la aplicación ASP.NET, incluyendo configuraciones de red.

 

La actualización de seguridad hace frente a la vulnerabilidad firmando adicionalmente toda la información encriptada por ASP.NET.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad está clasificada como Importante para todas las ediciones soportadas de ASP.NET excepto Microsoft .NET Framework 1.0 Service Pack 3.

CVE

CVE-2010-3332 – Vulnerabilidad ASP.NET Padding Oracle

Vectores de ataque

Para explotar esta vulnerabilidad, un atacante enviaría un texto cifrado por medio de una solicitud Web a un servidor afectado para determinar si el texto fue descifrado correctamente examinando el código de error devuelto por el sitio web. Un atacante que hiciera muchas solicitudes podría obtener suficiente información para leer o alterar la información encriptada.

 

Factores de mitigación

Las versiones de Microsoft .NET Framework anteriores a Microsoft .NET Framework 3.5 Service Pack 1 no se ven afectadas por la parte de divulgación de contenido de archivos de esta vulnerabilidad.

 

Soluciones alternativas

Habilitar un escaneo de URL o regla de filtro de solicitudes, habilitar errores personalizados de ASP.NET y mapear todos los códigos de error a la misma página de error. Para pasos específicos, vea la sección de “Soluciones alternativas” del boletín en el vínculo a continuación: http://blogs.technet.com/b/seguridad/archive/2010/09/22/informaci-243-n-detallada-sobre-la-vulnerabilidad-de-asp-net-descrita-en-el-documento-informativo-de-seguridad-2416728.aspx .

Requisito de reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados con esta actualización

MS10-041 y MS09-036 en versiones específicas de Microsoft .NET Framework en sistemas operativos específicos. Para detalles específicos, vea la sección de “Software afectado” del boletín en el vínculo a continuación.

Estado de divulgación:

Estado de explotación:

·         Esta vulnerabilidad se dio a conocer públicamente antes de la liberación del boletín. Puede encontrar mayor información en el documento informativo de seguridad 2416728 http://www.microsoft.com/latam/technet/seguridad/alerta/2416728.mspx      

 

Esta vulnerabilidad ya estaba siendo explotada antes de la liberación del boletín.

Detalles completos

http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-070.mspx 

 

Como siempre, si tiene algún problema o alguna pregunta, no vacile en abrir un caso de soporte gratuito de seguridad con Microsoft aquí: http://support.microsoft.com/gp/contactenos/es-la

 

Saludos,

 

Roberto Arbeláez

Security Program Manager for Latin America

CSS Security

Microsoft Corp.

 

*** Este artículo se ofrece tal y como está, y no confiere derechos ***