décembre 26th, 2011

Encore un « zero day » Microsoft, affectant cette fois asp.net. L’attaquant pourrait provoquer un déni de service en expédiant une requête http POST forgée. Les « facteurs de mitigation » de Microsoft signalent que IIS n’est pas actif par défaut, ce qui rend cette attaque moins critique, puisque ne visant pas des configurations par défaut. Secunia ne s’émeut quasiment pas, et donne à cette alerte le grade de « less critical »… C’est dire.

Rappelons qu’une faille légèrement plus critique avait été signalée en fin de semaine passée.