WNZ: Hemmeligt facelift til iPad 2WNZ: Apple overvejede fysisk tastatur til iPhone
Diablo III's Real-Money AH rykkes til "soon"-tidsramme på grund af lanceringsproblemerSquare Enix: Activision må være tossede for at droppe True Crime: Hong KongAnalytiker: Grand Theft Auto 5 sælger mindst 14 millioner eksemplarerMinecraft rammer 9 millioner solgte eksemplarerNy, lang gameplay-trailer til Sleeping DogsNy gameplay-video fra Sniper: Ghost Warrior 2 tager os til BosnienJapansk lanceringstrailer til Anarchy ReignsResident Evil: Chronicles HD får dato og prisHvornår har du sidst været til LAN?
28. sep. 2010 10:24Microsoft lukker det alvorlige hul i ASP.Net, der blev opdaget for nylig, med en ekstraordinær rettelse.
Rettelsen udsendes klokken 19 i aften dansk tid. Men den kommer ikke på Windows Update i første omgang. I stedet skal administratorer selv hente den på Microsoft Download Center.
Sikkerhedsrettelsen kommer uden for Microsofts skema for månedlige udsendelser af rettelser. Det forklarer firmaet med, at den lukker et hul, som udnyttes aktivt i begrænsede angreb. Samtidig får sårbarheden dog kun firmaets næstalvorligste risikovurdering.
Sårbarheden ligger i ASP.Nets implementering af krypteringsalgoritmen AES. Ved at analysere fejlmeddelelser kan en angriber få adgang til fortrolig information.
Efter nogle dage bliver rettelsen også tilgængelig via Windows Update og Windows Server Update Services.
Links til rettelsen til de enkelte versioner af ASP.Net skulle komme på Scott Gus blog.
Læs også Alvorligt sikkerhedshul i ASP.Net
28. sep. 2010 14:39
Det eneste der skal til at fixe denne fejl er at gå væk fra AES som encryption method og gå til 3DES eller SHA1, eller lade være med at bruge custom errors. Men kæft det var svært at finde reeel info om denne fejl da det først blev almindelig kendt.
28. sep. 2010 15:04
Rettelsen udsendes klokken 19 i aften dansk tid.Nyheden
Øhh, måske et dumt spørgsmål, men.. Hvis den allerede er lavet, hvorfor bliver den så ikke lagt ud med det samme? Når den kommer udenfor den normale månedlige dag (Sidste torsdag? Eller?) alligevel?
Ja, jeg blev tabt på gulvet.
29. sep. 2010 03:41
eller lade være med at bruge custom errors.didriksen86 (#2)
Den sender også HTTP status koder og er dermed såbar.
4. okt. 2010 01:26
Microsoft: kære hackere, her er en challenge. I aften lukker vi en af jeres metoder til at hacke små firmaer. Jeres mission bestemmer i selv, og ps, for at hjælpe jer, så smider vi det først på windows update om et par dage ;) hyg jer.
eller hvad ?
CS @ AAU
4. okt. 2010 13:28
fan af terracide
Hm ...arne_v (#6)
Nu er det ikke altid han siger noget dumt.
I forhold til min besked, mener jeg bare at Microsoft skulle tage at smide den på Windows udpate med det samme.
CS @ AAU
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
