计算机安全巨头赛门铁克公司的研究人员昨天证实,1月6日公布的攻击代码可以削弱Web服务器运行微软的ASP网络发表概念证明型攻击。
其它安全专家并不感到意外,冲出了一个补丁,攻击代码出现在微软的日子GitHub上周五,一个网站,主机软件项目,并已被黑客在过去分发他们的工作。其软件的拒绝服务漏洞。没有,并不奇怪,安德鲁风暴nCircle公司安全主任,安全操作,在接受记者采访时说星期二。 有足够的兴趣[在研究人员的原始演示文稿,我们应该有预期的攻击代码很快。风暴的介绍是由德国研究人员亚历山大克林克和朱利安Walde在12月28日在柏林,那里,他们表现出了网络上最流行的应用程序和网站编程语言,包括微软的ASP。净,在开放源码的PHP和红宝石,Oracle的Java和谷歌的V8引擎的JavaScript的一个漏洞混沌通信大会(CCC认证)会议。
据克林克和Walde,攻击者可能削弱使用单一现成的现成PC和低带宽连接到互联网进行拒绝服务攻击Web服务器。在一份安全公告发布的同一天,微软承诺在ASP中的漏洞补丁。NET,然后,2011年12月29日第一次出带外更新。于一月6,确定为HybrisDisaster的人的攻击代码在GitHub上发表的克林克Walde演示和攻击代码的出现之间的时间间隔仅9天,八天之后,微软发布了其紧急补丁他们的介绍很不错,并说明该漏洞和如何很好地利用它,说:沃尔夫冈Kandek,在Qualys的首席技术官。风暴一样,Kandek是不是目瞪口呆的是利用代码出现如此之快。 [攻击]真的有一个非常简单的机制,Kandek补充说,没有,所以实际上,我并不感到惊讶。
证明的概念,这实际上是一个巨大的文本文件,可以简单地被发送到一个脆弱的Web服务器瘫痪,托德比尔兹利,在Rapid7研究员,公司,生产流行的Metasploit渗透测试工具包。
