En säkerhetslucka i ASP.net kan enligt uppgift ge tillgång till lösenordsskyddade delar på en webbplats genom att vissa ändringar görs i URL:en. Microsoft undersöker för närvarande problemet och har postat en rad åtgärder mot problemet på företagets webbplats.

Säkerhetsluckan utnyttjas genom att vissa tecken i adressen byts ut mot ett av tre andra tecken vilket leder till att dialogrutan för att skriva in användarnamn och lösenord helt förbipasseras.

Microsofts lösning på problemet är att användare lägger till en funktion, som validerar den riktiga sökvägen för sidor innan de skickas över till besökarens webbläsare. Detta kan dock leda till försämrade prestanda på servern i och med att varje förfrågan, som skickas till servern, måste valideras innan den antingen autenticieras eller förkastas men säkerheten blir trots allt högre.

Microsoft meddelar att företaget arbetar med en uppdatering som tar hand om problemet men att den kan ta tid eftersom den måste genomgå företagets kvalitetssäkringsrutiner. En användare på slashdot.org hävdar dock att det endast krävs att cirka fem rader läggs till i filen global.asax för att åtgärda problemet.


Länk till patchen


http://www.microsoft.com/downloads/details.aspx?familyid=DA77B852-DFA0-4631-AAF9-8BCC6C743026
&displaylang=en