Mirá si será importante que lo sacaron fuera de fecha, es decir, aparte de los famosos Boletines de Martes. Microsoft avisa no sólo que hay una vulnerabilidad “importante” en ASP.net, que ya hay ataques reportados, sino que ya está el parche. Yo que vos mucho no espero, pero eso sí… leete el advisory en inglés, porque en español todavía está por verse.
Por razones personales de las que hablamos la semana pasada se me pasaron los Parches de Martes y no valía la pena publicarlos con una semana de demora. Pero esta es una noticia importante por varias razones. Según la explicación que da el Microsoft Security Advisory 2416728, “Un atacante que aprovechara esta vulnerabilidad podría consultar los datos, como el estado de vista que ha cifrado el servidor de destino o leer datos de los archivos que se encuentran en dicho servidor, como web.config. Esto permitiría al atacante alterar el contenido de los datos. Al devolver el contenido modificado a un servidor afectado, el atacante podría observar los códigos de error que devuelve el servidor.”
Clarísimo como el agua de pozo ¿no?
La cuestión es que con el Security Bulletin MS10-070 te anotician que ya tienen un update listo para ser descargado e instalado.
Desde ya te aviso, para que no tengas que rebuscar demasiado, que todos los Windows (menos 95 y 98) están afectados y de los diferentes paquetes Microsoft .NET Framework, el único *no* afectado (o sea, el único que no hay que emparchar) es el .NET Framework 1.0 Service Pack 3, que encontrás en Windows XP Media Center Edition 2005 y Windows XP Tablet PC Edition 2005… suponiendo que haya alguien que tenga alguno de esos modelos.
La recomendación que te hago es la misma que hace Microsoft: *aplicá esta actualización en la primera oportunidad*.
¿Viste que a veces estamos de acuerdo?