Microsoft publicó un último boletín de seguridad antes de acabar el año.

El boletín MS11-100, publicado el jueves 29 de diciembre, se aparta de la norma de
publicación de boletines de seguridad los segundos martes de cada mes a
la que acostumbra esta compañía. Esto es debido al carácter crítico de
las vulnerabilidades y a que una de ellas se ha divulgado públicamente.

En total el boletín corrige cuatro vulnerabilidades que afectan a .NET
Framework en todas sus versiones. A continuación se exponen dichas
vulnerabilidades ordenadas por sus identificadores CVE.

* CVE-2011-3414: Se trata de la vulnerabilidad ya comentada en la
una-al-dia anterior en relación con la forma en que ASP.NET Framework
trata peticiones específicamente construidas, que puede causar
colisiones hash, y con ello un incremento del consumo de los recursos
del sistema. Esto podría ser utilizado por un atacante remoto para
provocar condiciones de denegación de servicio.

* CVE-2011-3415: Existe un fallo en la comprobación de las direcciones
URL de retorno durante el proceso de autenticación de formularios en
.NET Framework. Un atacante remoto podía aprovechar esta vulnerabilidad
para revelar información sensible al redirigir a un usuario a un sitio
web diferente sin el conocimiento de este, a través de un enlace
especialmente manipulado.

* CVE-2011-3416: Un fallo en la forma en que.NET Framework autentica a
los usuarios podría ser utilizado por un atacante remoto para elevar
privilegios a través de una petición web especialmente manipulada. Para
aprovechar esta vulnerabilidad, el atacante debe registrar una cuenta en
la aplicación ASP.NET, y conocer el nombre de la cuenta de usuario a la
que pretende acceder.

* CVE-2011-3417: Una última vulnerabilidad en la forma en que ASP.NET
maneja el contenido almacenado en caché cuando se utiliza la
autenticación de formularios con pérdida de deslizamiento activada. Esto
podría ser aprovechado por un atacante remoto para elevar privilegios a
través de un enlace especialmente manipulado.

Los parches que corrigen las vulnerabilidades anteriores pueden
descargarse desde el propio boletín de Microsoft, o a través de Windows
Update. Dada la gravedad de las vulnerabilidades se recomienda la
actualización de los sistemas con la mayor brevedad posible.
Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies