ASP.NET'te Bulunan Güvenlik Açığı Kapatıldı

Geçtiğimiz günlerde ViewState nesnesi üzerinden yapılan bir saldırı tekniği ile uygulama içerisindeki web.config dosyasının bilgilerini ele geçirmenin bir yolu bulunmuştu. Tabi bu saldırı sadece projenizde CustomError sayfalarının kapalı olması durumunda yapılabiliyordu. Zor ve çetrefilli bir yol izlenerek yapılabilen bu saldırı için hazırlanmış bir araç olmaması, açık nedeniyle yayında olan sitelerin etkilenmesini de engelledi. Bu sırada Microsoft da çok hızlı bir şekilde önce geçici çözümü(workaround), ardından da gerekli yamayı hazırladı. Scott Guthrie tarafından yazılan bu yazıda hem konuyla ilgili detaylı bilgileri hem de hangi işletim sistemine hangi paketin kurulması gerektiğini bulabilirsiniz. Not: ViewState nesnesi yine yaptı yapacağını, sanırım bundan sonra MVC kullananların sayısı giderek artacaktır :)