A correção protege contra o bug que poderia ser explorado para furtar a sessões de cookies do navegador ou roubar senhas e logins.
Como prometido, a Microsoft lançou um patch de emergência para uma vulnerabilidade encontrada em todas as versões do ASP.Net, recurso projetado para criação de sites e aplicativos para Web.
A correção protege o usuário de um bug na criptografia do ASP.Net, que poderia ser usado por crackers para acessar aplicações com direitos que seriam exclusivos ao administrador. É possível, por exemplo, descriptografar cookies de sessão ou outros dados criptografados em um servidor remoto, além de acessar arquivos de um site ou aplicativos da Web.
No dia 17 de setembro, uma dupla de pesquisadores demonstrou como pessoas mal intencionadas poderiam furtar a sessão de cookies do navegador ou roubar senhas e logins dos sites, alertando a fabricante do Windows sobre o caso.
Três dias depois, a companhia confirmou a ameaça e reiterou que lançaria uma correção, na época sem definir nenhuma data.
“Com base no nosso monitoramento de ameaças, determinamos que era necessário o lançamento de uma correção fora das datas regulares para proteger os clientes”, comunicou a Microsoft.
Entretanto, nem todo mundo receberá o patch ao mesmo tempo, já que a empresa o liberou apenas através de sua central de downloads, no qual clientes devem restaurar e instalar manualmente a correção. No momento, a atualização não estará disponível no Windows Update.
“Esta é a primeira vez que lançamos uma correção desta maneira. Estamos lançando a atualização de segurança primeiro para os clientes do Microsoft Download Center (especificamente, para grandes empresas e provedores de hospedagem)”, declarou a Microsoft. “Em poucos dias, a correção constará também no Windows Update e no Windows Server Update Services (WSUS)”.
A partir do Microsoft Download Center, a correção MS10-070 está disponível para o ASP.Net em todas as versões suportadas pelo Windows desde Windows XP Service Pack 3 (SP3) e Windows Server 2003 até Windows 7 e Windows Server 2008 R2.
Com informações de IDG News Service.