Problem dotyczy nie tylko ASP.NET - to błąd projektowy, który znaleźć można w kilku innych technologiach webowych (m.in. Java oraz PHP 5). Dotyczy on generowania tablic mieszających na podstawie zapytań HTTP POST - okazuje się, że możliwe jest spreparowanie zapytań, które w krótkim czasie spowodowują zablokowanie serwera (poprzez wysycenie jego mocy obliczeniowej)..

Standardowo, przeprowadzenie skutecznego ataku typu DoS na serwer webowy wymaga zaangażowania do tego celu co najmniej kilkudziesięciu tysięcy komputerów (np. zombie PC), wysyłających do "ofiary" masowe zapytania. Gdyby przystępca odpowiednio wykorzystał opisany powyżej błąd, mógłby z powodzeniem zablokować serwer używając tylko jednego komputera.

Zobacz również:

• Microsoft zapowiada nową linię małych modeli językowych AI
• Luka w zabezpieczeniach WordPress

"Gdyby napastnik regularnie przesyłał do atakowanego serwera odpowiednio przygotowane zapytania, spowodowałby w ten sposób znaczny wzrost wykorzystania mocy obliczeniowej maszyny, doprowadzając ostatecznie do jej zablokowania. Na atak podatne są nawet serwery wielordzeniowe oraz klastry" - wyjaśniają przedstawiciele Microsoftu.

Błąd został ujawniony w ubiegłym tygodniu - zaprezentowali go podczas berlińskiej konferencji Chaos Communication Congress dwaj specjaliści ds. bezpieczeństwa: Alexander Klink oraz Julian Wälde..

"Reakcja Microsoftu była fenomenalna - poprawka pojawiła się błyskawicznie, a przecież koncern został powiadomiony o problemie bardzo późno" - skomentował Wolfgang Kandek, szef działu technologicznego firmy Qualys.

Więcej informacji o problemie oraz aktualizacji dla ASP.NET znaleźć można na stronie Microsoftu.