Представители Microsoft признались в том, что за последние несколько дней участились случаи несанкционированного доступа к личной информации пользователей, работающих с приложениями веб-разработок на основе технологии .NET.

Как оказалось, в механизме защиты ASP.NET существует определенный изъян, способствующий злоумышленнику получить доступ к удаленной информации, используя специально сгенерированный запросы. Если на сервере, ответственном за обработку .NET приложений включен режим шифрования CBC, то хакер получает возможность расшифровать интересующие его данные исходя из ответов сервера, содержащих код ошибки, которые можно интерпретировать и получить доступ к абсолютно любой информации на компьютере, работающем на ASP.Net 3.5 SP1 и старше.