اصلاحیه فوق العاده مایکروسافت برای asp.net
روز سه شنبه ششم مهرماه، شرکت مایکروسافت اصلاحیه فوق العاده ای برای ترمیم یک حفره امنیتی در فناوری ASP.Net که مورد سوء استفاده قرار گرفته بود، منتشر کرد. اصلاحیه شماره MS10-070 خارج از برنامه ماهانه مایکروسافت منتشر می شود و نشان دهنده اهمیت ترمیم و اصلاح این حفره امنیتی است.
حفره امنیتی ASP.Net می تواند شرایط دسترسی غیرمجاز به سرویس دهنده های تحت Web را فراهم کند. دسترسی غیر مجاز در حد امکانات مدیر شبکه (Admin) خواهد بود و فرد نفوذگر می تواند فایل های رمز شده و اطلاعات کاربران را از روی سرویس دهنده سرقت کند.
نحوه سوء استفاده از ایـن حفـره امنیتی به روش سعـی و خطا است. با ارسـال یـک متـن رمـزگـذاری شـده بـه یک نرم ا فزار تحت ASP.Net و بررسی پیام خطای برگشتی از نرم افزار و تکرار این کار، می توان اطلاعات کافی برای حدس صحیح کلید رمزگذاری به دست آورد.
فناوری ASP.Net بستر طراحی شده توسط مایکروسافت برای ساخت و اجرای برنامه های تحت Web است. این درحال حاضر، میلیون ها سایت اینترنتی بر اساس این فناوری ساخته شده اند.
سرعت عمل شرکت مایکروسافت در تهیه و عرضه اصلاحیه MS10-070 قابل توجه است. در مدت 11 روز از زمان شناسایی و اطلاع از این حفره امنیتی، مایکروسافت توانسته اصلاحیه قطعی برای تمام نسخه های ASP.Net تحت سیستـم هـای عامل مختلف از Win XP SP3 تا Server 2008 R2 ارائه دهد.
انتشار اصلاحیه MS10-070 به روش جدیدی صورت گرفته که تا بحال مایکروسافت انجام نداده بود. روز سه شنبه ششم مهرماه، ایـن اصـلاحیه فقط بر روی سایت Download Center قرار داده شد تا مدیران شبکه و دیگر کاربران به طور دستی آن را دریافت کرده و بر روی سرویس دهنده های خود نصب کنند. بدین ترتیب، برخلاف معمول همیشه، مایکروسافت از انتشار همزمان اصلاحیه از طریق سیستم بروز رسانی خودکار Windows خودداری کرد. دلیل مایکروسافت نیز این بوده که این اصلاحیه بیشتر برای موسسات بزرگ و شرکت های خدمات دهی اینترنت (ISP) کاربرد دارد و کمتر کاربری است که روی کامپیوتر خود سرویس دهنده تحت Web راه اندازی کرده باشد. اینگونه موسسات و شرکت ها نیز ابتدا اصلاحیه را در یک محیط محدودتر آزمایش کرده و سپس آن را بطور عمومی و گسترده بر روی دستگاه های سازمان و شرکت خود اعمال می کنند. البته در طی روزهای آینده این اصلاحیه از طریق سیستم بروز رسانی خودکار Windows نیز در دسترس بوده و در بین کاربران توزیع خواهد شد.
