Due giorni fa Microsoft aveva provveduto a pubblicare la patch che consente di sanare una pericolosa lacuna di sicurezza in ASP.NET. Con una decisione inusuale, i vertici della società di Redmond hanno preferito limitare la distribuzione dell’aggiornamento MS10-070 al solo “Download center“, l’area dalla quale amministratori di sistema ed utenti più evoluti possono prelevare manualmente le patch via a via rilasciate da parte di Microsoft.
La manovra del gigante di Redmond è stata apprezzata dai principali esperti di sicurezza perché ha dato modo a provider Internet ed amministratori di sistema di provare per tempo la patch quindi di installarla sulle macchine impiegate per scopi produttivi.
Oggi Microsoft ha esteso la distribuzione della patch MS10-070 proponendola attraverso i canali tradizionali per l’aggiornamento di Windows (funzionalità “Aggiornamenti automatici“, Windows Update e così via).
Se sul server web Microsoft IIS (qualunque sia la versione di Windows adoperata) vengono eseguite applicazioni ASP.NET, in mancanza della patch MS10-070, la macchina potrebbe facilmente porgere il fianco ad attacchi provenienti dall’esterno. In tali frangenti, gli aggressori potrebbero riuscire a sottrarre dati personali, ad accedere al pannello di amministrazione delle applicazioni web installate sul server, a leggere e modificare il contenuto di file memorizzati sullo stesso server. Per tutti i dettagli sull’argomento, suggeriamo di fare riferimento a questa notizia ed a questo articolo.
Coloro che hanno allestito un server IIS e fanno uso di applicazioni ASP.NET è bene procedano immediatamente all’installazione dell’aggiornamento, soprattutto nel caso in cui non si fossero applicati i “workaround” illustrati dai tecnici Microsoft nei giorni scorsi.