Microsoft Visual Studio 2008 ve Visual Web Developer Express 2008 için güncelleme yayınlandı
Microsoft, an itibarı ile Microsoft Visual Studio 2008 ve Visual Web Developer Express 2008 için bir güncelleme yayınladı. Güncelleme web geliştiricileri için performans iyileştirmeleri içeriyor.
Buradan güncelleştirmelere erişebilirsiniz.
Bu iyileştirmelerin detayları aşağıdaki gibidir :
HTML Kaynak görünümü performans düzeltmeleri
- Kaynak kod editör, içerisinde birden fazla alt özellik (property) olan bir özel kontrol (custom control) içeren sayfada birkaç saniye donmaktadır.
- Web application projelerinde "View Code" sağ tuş menüsünün yüklenmesi uzun zaman almaktadır.
- Visual Studio büyük HTML dökümanları açarken çok yavaş çalışmaktadır.
- Visual Studio bazı etiketleri içeren büyük HTML dosyalarında donmakta ve cevap vermemektedir.
- Tab/Shift Tab (Indent/Un-indent) kombinasyonları geniş HTML seçimlerinde yavaş davranmaktadır.
Dizayn görünümü performans düzeltmeleri
- Dizayn görünümünde, bazı biçimlendirme konfigürasyonlarında yazım yavaş gerçekleşmektedir.
HTML düzenleme
- Konfigürasyon ayarlarında seçili olmasına rağmen Class ve CssClass özniteliklerinden sonra tırnaklar (") eklenmemektedir.
- Visual Studio, ServiceReference elementi mevcut web sayfasına yönlendirildiği zaman çökmektedir.
JavaScript düzenleme
- Bir javascript dosyasını açarken, script'in renklendirilmesi gecikmektedir.
- Javascript intellisense, düzenlenen satırdan önce boş bir string özniteliği ile karşılaşırsa çalışmamaktadır.
Web Site build performans düzeltmeleri
- Web-site projelerinde Bin klasörü çok sayıda assembly ve .refresh dosyası içeriyorsa Build komutu çok yavaş çalışmaktadır.
Teknik terimlerin Türkçe çevirilerini anlamıyorsanız İngilizce metin aşağıda :
HTML Source view performance
- Source editor freezes for a few seconds when typing in a page with a custom control that has more than two levels of sub-properties.
- “View Code” right-click context menu command takes a long time to appear with web application projects.
- Visual Studio has very slow behavior when opening large HTML documents.
- Visual Studio has responsiveness issues when working with big HTML files with certain markup.
- The Tab/Shift-Tab (Indent/Un-indent) operation is slow with large HTML selections.
Design view performance
- Slow typing in design view with certain page markup configurations.
HTML editing
- Quotes are not inserted after Class or CssClass attribute even when the option is enabled.
- Visual Studio crashes when ServiceReference element points back to the current web page.
JavaScript editing
- When opening a JavaScript file, colorization of the client script is sometimes delayed several seconds.
- JavaScript Intellisense does not work if an empty string property is encountered before the current line of editing.
Web Site build performance
Build is very slow when Bin folder contains large number of assemblies and .refresh files with web-site projects.
.Net Framework Yamaları
Microsoft .Net Framework içerisinde yer alan açıklar için bir yama paketi yayınladı. Bir çoğu kritik seviyede olan açıklar için yamaları
bu adresten indirebilirsiniz.
Kapatılan açıklar genelde Remote Code Execution (Uzaktan kod çalıştırma) ile ilgili. Microsoft yamaları .NET framework ve işletim sistemi versiyonlarına göre yayınlayarak takdire şayan bir iş yapmış. Diğer taraftan Security Assessment firması .NET framework için
Null Byte Injection Vulnerabilities (Sıfır Byte Ekleme Açıkları) dökümanı yayınladı. Mutlaka indirmenizi ve örnekleri incelemenizi öneriyorum.
Dökümandan bir alıntı yaparsak :
It was found that certain .NET methods in various sections of the .NET namespace are vulnerable to Null byte injection attacks. Null byte injection occurs when the .NET CLR incorrectly handles user supplied Null bytes.
The .NET CLR considers Null bytes as 'data', .NET strings are not Null byte terminated. However, native POSIX compliant function calls terminate all strings at the first found Null byte. Interoperability issues are encountered when data containing a Null byte is used by .NET to directly call a native C function call.
Native function calls terminate strings at the injected Null byte allowing a remote user to arbitrarily terminate a string parameter used by the vulnerable method.
Security-Assessment.com has discovered five vulnerable methods in the .NET framework which are exploited through Null byte injection. Three of the discovered vulnerabilities allow strings to be arbitrary terminated through String Termination vulnerabilities. The remaining two resulted in an Arbitrary File Disclosure condition where a remote user is capable of accessing arbitrary files from within the web root.
Yukarıda söz edilen beş metot arasında dinamik dizin yolu (path) oluşturmaya yarayan Server.MapPath, metinleri birbirleriyle kıyaslayan String.Compare gibi sık kullanılan fonksiyonlar var.
Bu açıktaki temel neden .Net framework'un string değişkenler içerisinde bulduğu ilk Null byte'da (%00) string'i kesmesidir.
string str = "küresel%00" + " ısınma";
kodu çalıştırılırsa sonuç "küresel" olacaktır.
Bu açık kullanıcıdan gelen verilerle yapılan işlemlerde sorunlar yaratabilmektedir.
Security-Assessment.com yayınladığı döküman içerisinde bu konuda güzel örneklere yer veriyor. Dökümanı incelemenizi tekrar tavsiye ediyorum.