Noticias >> Seguridad >> Una vulnerabilidad en ASP.NET podría permitir la divulgación de información...
Una vulnerabilidad en ASP.NET podría permitir la divulgación de información
Microsoft lanzo la actualización KB980182 para Internet Explorer con el objetivo de corregir diez vulnerabilidades entre las cuales, la más grave de ellas, permitiría la ejecución de código remoto si un usuario a través de Internet Explorer visitara una página web específicamente diseñada.
La siguiente información es extraída de Microsoft.com
Publicado: 17 de septiembre de 2010 | Actualizado: 28 de septiembre de 2010 Boletín de seguridad de Microsoft MS10-070 – Importante
Revisiones:| • | V1.0 (17 de septiembre de 2010): Documento informativo publicado |
| • | V2.0 (28 de septiembre de 2010): Documento informativo actualizado para reflejar la publicación del boletín de seguridad |
Esta actualización de seguridad resuelve una vulnerabilidad que ya se ha divulgado en ASP.NET. La vulnerabilidad podría permitir la divulgación de información. Un atacante que aprovechara esta vulnerabilidad podría leer los datos, como el estado de vista, que ha cifrado el servidor. Esta vulnerabilidad también se puede utilizar para alterar los datos, por lo que, si se consigue aprovechar la vulnerabilidad, se podrían usar para descifrar y alterar los datos cifrados por el servidor. Las versiones de Microsoft .NET Framework anteriores a Microsoft .NET Framework 3.5 Service Pack 1 no están afectadas por la parte de divulgación de contenido de archivo de esta vulnerabilidad.
La actualización de seguridad corrige estas vulnerabilidades al modificar la forma en que Internet Explorer comprueba el origen de las secuencias de comandos y trata los objetos en memoria, el contenido que usa cadenas de codificación y las direcciones URL largas. Para obtener más información acerca de las vulnerabilidades, consulte la subsección Preguntas más frecuentes (P+F) en la sección siguiente, Información sobre la vulnerabilidad.
La mayoría de los clientes tienen habilitada la actualización automática y no deben realizar ninguna acción. Los clientes que no han habilitado la actualización automática deben buscar las actualizaciones e instalar esta actualización manualmente.
Esta actualización de seguridad se considera importante para todas las ediciones compatibles de ASP.NET excepto Microsoft .NET Framework 1.0 Service Pack 3. Para obtener más información, vea la subsección Software afectado y no afectado, en esta sección.
La actualización de seguridad corrige la vulnerabilidad al firmar adicionalmente todos los datos que están cifrados mediante ASP.NET. Para obtener más información acerca de la vulnerabilidad, vea la subsección Preguntas más frecuentes (P+F) de la entrada de vulnerabilidad específica en la siguiente sección Información sobre la vulnerabilidad.
Recomendación. Microsoft recomienda que los clientes instalen la actualización lo antes posible.
Problemas conocidos: los problemas detectados que pueden experimentar los clientes al instalar esta actualización de seguridad. Se documentan asimismo las soluciones propuestas.
Software afectado y no afectado
Software afectado
| Sistema operativo | Componente | Repercusión de seguridad máxima | Clasificación de gravedad acumulada | Boletines reemplazados por esta actualización |
| Windows XP | ||||
Windows XP Service Pack 3 |
Microsoft .NET Framework 1.1 Service Pack 1 |
Divulgación de información |
Importante |
MS10-041 |
Windows XP Service Pack 3 |
Microsoft .NET Framework 2.0 Service Pack 2 |
Divulgación de información |
Importante |
Ninguna |
Windows XP Professional x64 Edition Service Pack 2 |
Microsoft .NET Framework 1.1 Service Pack 1 |
Divulgación de información |
Importante |
MS10-041 |
Windows XP Professional x64 Edition Service Pack 2 |
Microsoft .NET Framework 2.0 Service Pack 2 |
Divulgación de información |
Importante |
Ninguna |
| Windows Server 2003 | ||||
Windows Server 2003 Service Pack 2 |
Microsoft .NET Framework 1.1 Service Pack 1 |
Divulgación de información |
Importante |
Ninguna |
Windows Server 2003 x64 Edition Service Pack 2 |
Microsoft .NET Framework 1.1 Service Pack 1 |
Divulgación de información |
Importante |
MS10-041 |
Windows Server 2003 x64 Edition Service Pack 2 |
Microsoft .NET Framework 2.0 Service Pack 2 |
Divulgación de información |
Importante |
Ninguna |
Windows Server 2003 con SP2 para sistemas con Itanium |
Microsoft .NET Framework 1.1 Service Pack 1 |
Divulgación de información |
Importante |
MS10-041 |
Windows Server 2003 con SP2 para sistemas con Itanium |
Microsoft .NET Framework 2.0 Service Pack 2 |
Divulgación de información |
Importante |
Ninguna |
| Windows Vista | ||||
Windows Vista Service Pack 1 |
Microsoft .NET Framework 1.1 Service Pack 1 |
Divulgación de información |
Importante |
Ninguna |
Windows Vista Service Pack 1 |
Microsoft .NET Framework 2.0 Service Pack 1 y Microsoft .NET Framework 3.5 |
Divulgación de información |
Importante |
MS09-036 |
Windows Vista Service Pack 2 |
Microsoft .NET Framework 1.1 Service Pack 1 |
Divulgación de información |
Importante |
Ninguna |
Windows Vista x64 Edition Service Pack 1 |
Microsoft .NET Framework 1.1 Service Pack 1 |
Divulgación de información |
Importante |
Ninguna |
Windows Vista x64 Edition Service Pack 1 |
Microsoft .NET Framework 2.0 Service Pack 1 y Microsoft .NET Framework 3.5 |
Divulgación de información |
Importante |
MS09-036 |
Windows Vista x64 Edition Service Pack 2 |
Microsoft .NET Framework 1.1 Service Pack 1 |
Divulgación de información |
Importante |
Ninguna |
| Windows Server 2008 | ||||
Windows Server 2008 para sistemas de 32 bits |
Microsoft .NET Framework 1.1 Service Pack 1** |
Divulgación de información |
Importante |
Ninguna |
Windows Server 2008 para sistemas de 32 bits |
Microsoft .NET Framework 2.0 Service Pack 1 y Microsoft .NET Framework 3.5** |
Divulgación de información |
Importante |
MS09-036 |
Windows Server 2008 para sistemas de 32 bits Service Pack 2 |
Microsoft .NET Framework 1.1 Service Pack 1** |
Divulgación de información |
Importante |
Ninguna |
Windows Server 2008 para sistemas x64 |
Microsoft .NET Framework 1.1 Service Pack 1** |
Divulgación de información |
Importante |
Ninguna |
Windows Server 2008 para sistemas x64 |
Microsoft .NET Framework 2.0 Service Pack 1 y Microsoft .NET Framework 3.5** |
Divulgación de información |
Importante |
MS09-036 |
Windows Server 2008 para sistemas x64 Service Pack 2 |
Microsoft .NET Framework 1.1 Service Pack 1** |
Divulgación de información |
Importante |
Ninguna |
Windows Server 2008 para sistemas con Itanium |
Microsoft .NET Framework 1.1 Service Pack 1 |
Divulgación de información |
Importante |
Ninguna |
Windows Server 2008 para sistemas con Itanium |
Microsoft .NET Framework 2.0 Service Pack 1 y Microsoft .NET Framework 3.5 |
Divulgación de información |
Importante |
MS09-036 |
Windows Server 2008 para sistemas con Itanium Service Pack 2 |
Microsoft .NET Framework 1.1 Service Pack 1 |
Divulgación de información |
Importante |
Ninguna |
| Windows 7 | ||||
Windows 7 para sistemas de 32 bits |
Microsoft .NET Framework 3.5.1 |
Divulgación de información |
Importante |
Ninguna |
Windows 7 para sistemas x64 |
Microsoft .NET Framework 3.5.1 |
Divulgación de información |
Importante |
Ninguna |
| Windows Server 2008 R2 | ||||
Windows Server 2008 R2 para sistemas x64 |
Microsoft .NET Framework 3.5.1* |
Divulgación de información |
Importante |
Ninguna |
Windows Server 2008 R2 para sistemas con Itanium |
Microsoft .NET Framework 3.5.1 |
Divulgación de información |
Importante |
Ninguna |
*La instalación de Server Core está afectada. Esta actualización se aplica, con la misma clasificación de gravedad, a las ediciones compatibles de Windows Server 2008 R2 tal como se indica, independientemente de si se ha instalado con la opción de instalación Server Core.
**La instalación de Server Core no está afectada. Las vulnerabilidades corregidas por esta actualización no afectan a las ediciones compatibles de Windows Server 2008 tal como se indica, si se ha instalado con la opción de instalación Server Core.
Vea el artículo completo en Microsoft.com