Actualizaciones Microsoft - Solucionando vulnerabilidades críticas en el Framework .NET

Para empezar el año con nuevas noticas informáticas en esta ocasión se ha querido hacer hincapié en el especial interés de Microsoft en parchear sus aplicaciones de cara al nuevo año. Es por ello que están testeando a fondo sus aplicaciones más utilizadas y vendidas en busca de posibles fallos o vulnerabilidades que mermen en la calidad de su software.

Es por ello que hace unos días hablamos de una vulnerabilidad descubierta por la propia compañía, la cual estaba relacionada el Framework ASP.NET con una posible fuente de denegaciones de servicio. En esta ocasión la vulnerabilidad del Framework .NET podría permitir la elevación de privilegios.

Mediante ésta actualización de seguridad se resuelve una vulnerabilidad divulgada públicamente y tres vulnerabilidades en Microsoft. NET Framework que fueron reportadas de forma privada.

La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un atacante no autenticado envía una solicitud web diseñada especialmente para el sitio de destino.

Un atacante que explotara esta vulnerabilidad podría realizar cualquier acción en el contexto de una cuenta existente en el sitio de ASP.NET, incluyendo la ejecución de comandos arbitrarios. Para llevar a cabo la explotación de esta vulnerabilidad, un atacante debe ser capaz de registrar una cuenta en el sitio de ASP.NET, y debe saber un " User Name" existente.

Esta actualización de seguridad se considera crítica para Microsoft. NET Framework 1.1 Service Pack 1, Microsoft. NET Framework 2.0 Service Pack 2, Microsoft. NET Framework 3.5 Service Pack 1, Microsoft. NET Framework 3.5.1 y Microsoft. NET Framework 4 en todos los las ediciones compatibles de Microsoft Windows.

La actualización de seguridad corrige dichas vulnerabilidades al modificar la forma en la que el Framework. NET gestiona las peticiones diferentes a las estándar, es decir se fija mucho en las peticiones diseñadas especialmente por los clientes del sitio web. Además cambia la forma en   cómo el marco ASP.NET autentica a los usuarios y se ocupa de contenido almacenado en caché.

Esta actualización de seguridad también corrige la vulnerabilidad descrita en el anterior post relacionado, sobre una posible fuente de denegación de servicio.

La gran mayoría de los usuarios tienen habilitada la actualización automática y no necesitan tomar ninguna acción porque la actualización de seguridad se descargará e instalará automáticamente. Los clientes que no lo tienen activada esta opción podrían hacer esta actualización de forma manual.

Los clientes que no han habilitado la actualización automática para comprobar las actualizaciones e instalar esta actualización de forma manual.

Para todos aquellos que deseen llevar a cabo la actualización Microsoft recomienda que busquen las actualizaciones con el servicio " Microsoft Update ".

Fuente: Boletines de seguridad Microsoft

Para mas noticias de seguridad informática y novedades en el sector de las tecnologías Microsoft, no dudéis en suscribiros en el canal de Windows Técnico, donde tendréis toda la información actualizada.