Microsoft hat wie angekündigt ein außerplanmäßiges Update veröffentlicht, das eine kritische Lücke in ASP.NET schließt. Es kann ab sofort über das Microsoft Download Center heruntergeladen werden. In den kommenden Tagen soll der Patch auch über Windows Update und Windows Server Update verteilt werden.
Das Risiko, das von der Anfälligkeit ausgeht, stuft Microsoft als „hoch“ ein. Betroffen sind alle Versionen des .NET-Framework unter Windows XP, Server 2003, Vista, Server 2008, Windows 7 und Server 2008 R2. Einer Sicherheitsmeldung zufolge sind die Desktop-Betriebssysteme XP, Vista und 7 nicht angreifbar, solange auf ihnen kein Webserver läuft.
Microsoft hatte in der vergangenen Woche vor der Schwachstelle gewarnt. Das Problem sei, dass Fehlermeldungen von ASP.NET zu viele Informationen enthielten. Angreifer könnten dadurch die Verschlüsselung von zurückgeschickten Daten umgehen, erklärte Paul Henry, Sicherheitsexperte bei Lumension, gegenüber ZDNet. „Die Methode hinter den ASP.NET-Angriffen ist nicht neu.“ Der Patch richte voraussichtlich die zuvor als Behelfslösung vorgeschlagene Standard-Fehlermeldung automatisch ein.
„Es ist ein wenig seltsam, dass der Fix nicht sofort über Windows Update zur Verfügung steht“, sagte Andrew Storms, Direktor für Security Operations bei nCircle. „Administratoren und Verbraucher müssen den Patch manuell herunterladen und einspielen. Für Netzwerkadministratoren, die ISS-Websites betreiben, ist ein manueller Download offenbar ein vernünftiger Kompromiss zwischen Einfachheit und möglichst schneller Bereitstellung des Patches.“
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…