Bonjour

"Une vulnérabilité critique place les serveurs ASP.NET sous la menace d’attaques par déni de service. Un problème qui sera corrigé dans la journée.

Scott Guthrie, vice-président de la plate-forme .NET chez Microsoft, se fend d’un billet sur son blogue, montrant ainsi l’importance de cette faille.

Il indique que cette dernière sera corrigée aujourd’hui même, aux alentours de 19 heures, heure de Paris.

« Nous faisons cette annonce en avance, afin de nous assurer que les administrateurs système savent que cette mise à jour de sécurité arrive, et qu’ils se tiennent prêts à l’appliquer aussitôt qu’elle sera disponible », indique Scott Guthrie."

Source:silicon.fr

Bonjour

"MS11-100 permet de combler une vulnérabilité 0-day dans ASP.NET. Elle affecte toutes les versions de .NET Framework avec toutes les versions de Windows supportées. Son exploitation permet une attaque par déni de service sur des serveurs pour des pages ASP.NET. Microsoft n'a toutefois reçu aucun rapport en ce sens.

La petite surprise avec la mise à jour de sécurité de Microsoft est qu'elle ne corrige pas seulement une vulnérabilité mais quatre au total dans .NET Framework. Les trois autres ont été divulguées de manière confidentielle ( dont une critique d'élévation de privilèges ). Microsoft a intégré la quatrième correction à un patch qui avait déjà été développé et testé pour une publication ultérieure.

Ingénieur du centre de sécurité de Microsoft, Jonathan Ness en profite pour remercier l'équipe ASP.NET pour leurs " vacances héroïques ". Un sacrifice de Noël afin de combler un trou de sécurité." generation-nt.com