Artikel top billede

Microsoft retter farlig webfejl i al hast

En farlig denial-of-service-sårbarhed i ASP.NET blev rettet af Microsoft uden for den normale opdateringscyklus lige før nytår.

Computerworld News Service: Microsoft udgav lige før nytår en hasterettelse uden for sin normale opdateringscyklus, som lukker en sårbarhed i webplatformen ASP.NET.

Sårbarheden gør det muligt for hackere at gennemføre denial-of-service-angreb på servere ved hjælp af blot en strøm af filer på 100 kilobyte.

Selvom fejlen endnu ikke er blevet udnyttet i et virkeligt scenarie, har Microsoft vurderet, at risikoen for problemer er stor nok til at skride til handling i det, der blev eneste separate rettelse i 2011.

Kan sluge det hele

Microsofts security advisory 2659883 rangerer sårbarheden som et kritisk sikkerhedshul, der kan misbruges til at udnytte en svaghed i den måde, ASP.NET og flere andre webteknologier heriblandt Java og PHP 5 genererer hash-tabeller fra en HTTP POST-forespørgsel, og derved sluge en servers samlede CPU-ressourcer i en periode med blot en enkelt fil.

Normalt ville det kræve et botnet bestående af tusindvis eller hundredtusindvis af computere for at gennemføre et denial-of-service-angreb med så stor succes på alt andet end de dårligst beskyttede servere.

"En angriber kunne potentielt sende sådanne forespørgsler gentagne gange, hvilket ville forringe ydelsen tilstrækkeligt til at skabe en denial-of-service-tilstand selv på servere med flere kerner eller på klynger af servere," advarer Microsoft i sin security advisory.

Har reageret hurtigt

Sårbarheden blev først offentliggjort i sidste uge under Chaos Communication Congress i Berlin af sikkerhedseksperterne Alexander Klink og Julian Wälde.

Det skete en måned efter de oplyste Microsoft om fejlen. Microsoft er blevet rost af flere sikkerhedseksperter for at have reageret hurtigt i sagen.

"Microsoft har reageret og implementeret en løsning fantastisk hurtigt, da selskabet først blev gjort opmærksom på sårbarheden, da de tyske sikkerhedseksperter var ved at være færdige med deres arbejde. Vi vil følge, hvordan de andre påvirkede projekter og leverandører (PHP, Oracle, Python, Ruby og andre) udruller deres rettelser," udtaler teknologichef for Qualys, Wolfgang Kandek.

Andrew Storms fra nCircle er imponeret over, at Microsoft overhovedet har reageret i løbet af juleperiode, hvor mange virksomheder simpelthen lukker ned.

"Torsdagens hasterettelse er årets første og bryder hvad, der ellers ville have været en perfekt gennemførelse af Microsofts opdateringsskema for 2011. Jeg er sikker på, at der var nogle folk på Microsofts sikkerhedsteam, der ellers var ved at finde champagnen frem for at skåle for et vellykket år," siger Storms.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere


Microsoft 365: Gør klar til store prisstigninger

For første gang i mange år hæver Microsoft til foråret priserne på enterprise-udgaverne af Microsoft 365, som er meget udbredte i danske organisationer. Hør om mulighederne i Microsoft 365-pakkerne. Og hør, hvordan du med god license management har mulighed for at trimme dit setup, inden prisstigningerne på op til 25 procent træder i kraft 1. marts 2022.

19. november 2021 | Læs mere