Sembrava che il 2011 dovesse chiudersi, per Microsoft, con il rilascio di 99 bollettini di sicurezza, come avevamo concluso in questo nostro articolo. I tecnici del colosso di Redmond, invece, hanno ritenuto opportuno rilasciare il centesimo aggiornamento (MS11-100) la cui applicazione è indispensabile per la risoluzione di alcune vulnerabilità critiche individuate in tutte le versioni del pacchetto .Net framework. La MS11-100 è una “patch” “out-of-band” dal momento che non è stata resa disponibile in occasione del “patch day” mensile (il secondo martedì del mese), giorno scelto da Microsoft per la pubblicazione degli aggiornamenti di sicurezza per Windows e per le sue applicazioni.
La vulnerabilità che ha spinto Microsoft al rilascio “out-of-band” è stata l’individuazione di una lacuna in ASP.NET ed, in particolare, nell’elaborazione dei dati POST inviati dall’oggetto Request.Form
. Secondo quanto scoperto dai ricercatori tedeschi di n-runs, un aggressore potrebbe sfruttare la lacuna per produrre un sovraccarico delle risorse macchina (ad esempio, processore e memoria di un server web) provocando un attacco DoS (Denial of Service). In tale circostanza, tutti i siti web ospitati sul server preso di mira diverrebbero irraggiungibili.
Come spiega Feliciano Intini (Microsoft), la società guidata da Steve Ballmer ha approfittato del “rilascio natalizio” per includere nel medesimo bollettino la correzione di altre tre vulnerabilità segnalate privatamente.
Maggiori dettagli sono disponibili a questo indirizzo. Sebbene la patch sia d’importanza cruciale per chi gestisce server web ed utilizza ASP.NET, l’applicazione dell’aggiornamento è caldamente consigliato a tutti gli utenti Windows.