Vulnerabilidade no Mono ASP.NET 2.8.X pode revelar o código fonte .aspx para o navegador

Uma falha no componente XSP/mod_mono do Mono 2.8.X pode, em certos casos, exibir no navegador o código fonte .aspx da página ou qualquer outro arquivo do servidor. Ainda não foram revelados detalhes da vulnerabilidade, mas os desenvolvedores do Mono já liberaram a versão 2.8.2 que corrige a vulnerabilidade. Veja mais detalhes em Vulnerabilities – Mono.… Read More

Microsoft publica correção da vulnerabilidade crítica de vazamento de dados no ASP.NET

Ontem (28/09), treze dias após divulgada e oito dias após confirmada saiu a correção da vulnerabilidade de vazamento de dados no ASP.NET. A Microsoft declarou que já estão sendo registrados exploits dessa vulnerabilidade, então se você administra um servidor que rode aplicações .NET atualize o mais rápido possível. Usuários de serviços de hospedagem que utilizem… Read More

Microsoft confirma falha de segurança de vazamento de dados no ASP.Net

A Microsoft lançou um relatório de segurança confirmando a vulnerabilidade de vazamento de dados no ASP.Net, conforme mencionamos na última quarta-feira. O relatório diz que ainda não há notícias de ataques usando esta técnica, embora já tenha sido liberada uma ferramenta para automaticamente encontrar e explorar a falha. O relatório contém ainda uma série de… Read More

Falhas no sistema de criptografia do framework ASP.Net deixam aplicações bancárias abertas para ataque

Pesquisadores do netifera research desenvolveram uma ferramenta que explora uma falha no sistema de criptografia AES do framework ASP.Net, da Microsoft. A falha no servidor permite que se descriptografe cookies interceptados ou forge tickets de autenticação. A ferramenta se chama Padding Oracle Exploit Tool, demonstra a possibilidade do ataque. O pesquisador Juliano Rizzo afirma: “De… Read More

Infestação maciça de servidores IIS/ASP – robint.us

Desde o último dia 8, uma grande quantidade de servidores rodando IIS/ASP foram infectados num ataque de SQL injection, embutindo um malware apontando para o site robint.us, usando a técnica de XSS (Cross-site scripting). Uma busca no Google hoje (10/06) releva cerca de 12.000 sites infectados. A invasão maciça se deve não só a vulnerabilidades… Read More