A Microsoft disponibilizou a correção para uma brecha no ASP.NET que foi divulgada no começo deste mês. ASP.NET é uma tecnologia baseada no .NET Framework que é empregada no desenvolvimento de aplicativos web e serviços de internet. A vulnerabilidade, quando explorada, permite que um atacante tenha acesso a arquivos armazenados no servidor, como o web.config, que contém dados sensíveis, burlando funções de criptografia e outros recursos de segurança.
Segundo os pesquisadores de segurança Juliano Rizzo e Thai Dong, autores da descoberta, 25% de todos os aplicativos Web são baseados em ASP.NET. Segundo a Microsoft, a falha afeta diretamente o Internet Information Services (IIS) – único software capaz de executar oficialmente programas na linguagem. Isso significa que os principais afetados são aqueles que utilizam o Windows Server. Os usuários das demais versões dos sistemas operacionais Windows só estão vulneráveis se estiverem rodando o IIS, mas internautas podem ser vítimas de ataques realizados em website por meio dessa falha.
De fato, foi exatamente isso o que aconteceu. A Microsoft observou que sites foram invadidos por meio da falha para distribuir vírus, forçando a atualização lançada fora do calendário normal de atualizações da Microsoft, que normalmente acontece na segunda terça-feira de cada mês. A atualização foi classificada como “Importante”.
Por enquanto a atualização está disponível somente no Centro de Downloads da Microsoft, e em breve estará disponível também pelo Windows Update. Usuários comuns, no entanto, provavelmente não irão recebê-la, já que ela apenas afeta quem faz uso do servidor web IIS.
Linha Defensiva 