مایکرو سافت در مورد وجود یک آسیب پذیری بسیار خطرناک در ASP.NET که برای ایجاد وب سایت به کار می رود، به کاربران هشدار داد.

حفره امنیتی مذکور بر روی همه نسخه های .NET framework اثر گذاشته و همچنین سیستم عامل های ویندوز XP، ویستا، ویندوز ۷ و ویندوز سرور ۲۰۰۷ و ۲۰۰۸ را نیز تحت تأثیر قرار می دهد.

در راهنمایی امنیتی  مایکروسافت در این مورد آمده است:

” تا کنون هیچ گزارشی مبنی بر حمله با سوءاستفاده  از این آسیب پذیری را دریافت نکرده ایم، ولی به مشتریان خود توصیه می کنیم راهنمایی امنیتی  را برای استفاده از راهکارهای کاهش خطر و گردش کاری مورد مطالعه قرار دهند.”

مایکرو سافت همچنین یک اسکریپت را ارائه کرده است تا مدیران وب سایت با استفاده از آن بفهند آیا برنامه های ASP.NET آنها آسیب پذیر هست یا خیر.

بنا بر اطلاعات ارائه شده توسط  مایکروسافت  آسیب پذیری بر اثر ارائه جزئیات در پیغام خطایی که به مشتریان وب سایت های ASP.NET نشان داده میشود، به وجود آمده است. پیغام مذکور در صورت بروز خطا در رمزگشایی از یک پیغام رمز شده خاص نمایش داده می شود. فرد مهاجم می تواند داده هایی که بر روی سرور رمزنگاری شده اند را مشاهده کرده و یا در آنها مداخله کند. وی همچنین می تواند برخی داده های فایل ها بر روی سرور مقصد را مشاهده کند.

راهنمایی امنیتی  مایکروسافت  بعد از آن منتشر شده است که دو محقق امنیتی درباره آسیب پذیری مذکور در کنفرانس امنیتی بوینوس آیرس مطالبی را ارائه دادند.

بنا بر گفته یکی از محققان امنیتی مذکور، سوءاستفاده از آسیب پذیری مذکور بر روی ۲۵ درصد از وب سایت های موجود در اینترنت اثر می گذارد و نتایج آن بستگی به برنامه های نصب شده بر روی سرور دارد. پیامدها می تواند از افشای اطلاعات تا در اختیار گرفتن کامل سیستم قربانی متغیر باشد.