Két biztonsági szakértő azt állítja, hogy a Microsoft ASP.NET keretrendszerében egy olyan súlyos hibára leltek, ami lehetővé teheti rosszindulatú támadók számára példál banki weblapok eltérítését, és más biztonsági áthágások megvalósítását a sebezhető weboldalakon. A felfedezők szerint weblapok millióit érintő sérülékenységről bővebb részleteket egy Argentínában a hét végén megrendezésre kerülő biztonsági konferencián hoznak majd nyilvánosságra.

A hibáról így egyelőre csak annyit lehet tudni, hogy az az ASP.NET által a session sütik titkosítására használt AES algoritmus megvalósításában rejlik, ami bizonyos gyengeségeket rejt. Utóbbi kihasználásával a támadók képesek lehetnek az elvileg módosítás ellen védett session-adatok manipulálására, és ilyen módon olyan paraméterek beinjektálására és egyéb változások végrehajtására a program által védettnek tekintett adatszerkezetekben, amelyek alapvetően képesek annak működését befolyásolni, és akár az eredetileg szándékolttól és megengedettől teljesen eltérő műveletek végrehajtására is képessé tenni.

"Már hónapok óta tudtuk, hogy az ASP.NET sebezhető a támadási módunkkal szemben, de néhány héttel ezelőttig nem sejtettük, hogy mennyire súlyos a helyzet. Kiderült ugyanis, hogy az ASP.NET-ben lévő sebezhetőség az egyik legsúlyosabb az összes keretrendszer közül. Röviden megfogalmazva: gyakorlatilag használhatatlanná teszi az ASP.NET biztonságát", közölték a felfedezők.

További részletek itt.