Microsoft kündigt außerplanmäßigen Patch für ASP.NET-Lücke an

Microsoft will im Lauf des heutigen Tages einen außerplanmäßigen Patch für die kürzlich entdeckte Schwachstelle in ASP.NET veröffentlichen. Einer Sicherheitsmeldung des Unternehmens zufolge steckt der Fehler in allen Versionen des .NET-Framework unter Windows XP, Server 2003, Vista, Server 2008, Windows 7 und Server 2008 R2.

Allerdings seien die Desktop-Windows-Systeme XP, Vista und 7 nicht angreifbar, so lange auf ihnen kein Webserver laufe, teilte Microsoft mit. Für die Server-Varianten kursiere jedoch bereits ein Exploit im Netz.

„Aufgrund unserer Analyse der Bedrohungslage haben wir entschieden, ein außerplanmäßiges Update bereitzustellen, um unsere Kunden zu schützen. Wir haben vereinzelte Angriffe und Versuche registriert, aktuelle Sicherheitsmaßnahmen und Workarounds zu umgehen“, schreibt Dave Forstrom, Direktor von Microsofts Trustworthy Computing Division, in einem Blogeintrag.

Angreifer können die Sicherheitslücke mittels präparierter Anfragen an Webserver ausnutzen, um sich Zugriff auf geschützte Dateien zu verschaffen. Dabei sendet der Webserver Fehlercodes zurück, die zum Entschlüsseln der zurückgeschickten Daten verwendet werden können.

Der Patch wird Forstrom zufolge zunächst nur im Microsoft Download Center zur Verfügung stehen. In den kommenden Tagen soll er dann auch über Windows Update und Windows Server Update verteilt werden. Der nächste offizielle Microsoft-Patchday ist für den 12. Oktober angesetzt.