O boletim não dá muitas informações, mas alguns detalhes podem ser vistos aqui e aqui. De uma forma muito simplificada, um atacante pode quebrar a criptografia usada nos cookies e no View State do ASP.NET através de dicas fornecidas involuntariamente pelo ASP.NET nos códigos de erro.
Uma forma simples de se proteger contra este ataque, enquanto a Microsoft não libera uma correção, é redirecionar todos os erros para uma mesma página, através da configuração "Custom Errors". Isto é feito colocando no arquivo Web.config algo como:
<system.web>É fundamental não redirecionar um ou mais erros para outras páginas.
<customErrors mode="On" defaultRedirect="PaginaErro.htm" />
</system.web>
Fiquei sabendo desta notícia pelo blog do Ricardo Oneda.
Nenhum comentário:
Postar um comentário