Patch für kritische ASP.NET-Lücke steht zum Download bereit

Microsoft hat wie angekündigt ein außerplanmäßiges Update veröffentlicht, das eine kritische Lücke in ASP.NET schließt. Es kann ab sofort über das Microsoft Download Center heruntergeladen werden. In den kommenden Tagen soll der Patch auch über Windows Update und Windows Server Update verteilt werden.

Das Risiko, das von der Anfälligkeit ausgeht, stuft Microsoft als „hoch“ ein. Betroffen sind alle Versionen des .NET-Framework unter Windows XP, Server 2003, Vista, Server 2008, Windows 7 und Server 2008 R2. Einer Sicherheitsmeldung zufolge sind die Desktop-Betriebssysteme XP, Vista und 7 nicht angreifbar, solange auf ihnen kein Webserver läuft.

Microsoft hatte in der vergangenen Woche vor der Schwachstelle gewarnt. Das Problem sei, dass Fehlermeldungen von ASP.NET zu viele Informationen enthielten. Angreifer könnten dadurch die Verschlüsselung von zurückgeschickten Daten umgehen, erklärte Paul Henry, Sicherheitsexperte bei Lumension, gegenüber ZDNet. „Die Methode hinter den ASP.NET-Angriffen ist nicht neu.“ Der Patch richte voraussichtlich die zuvor als Behelfslösung vorgeschlagene Standard-Fehlermeldung automatisch ein.

„Es ist ein wenig seltsam, dass der Fix nicht sofort über Windows Update zur Verfügung steht“, sagte Andrew Storms, Direktor für Security Operations bei nCircle. „Administratoren und Verbraucher müssen den Patch manuell herunterladen und einspielen. Für Netzwerkadministratoren, die ISS-Websites betreiben, ist ein manueller Download offenbar ein vernünftiger Kompromiss zwischen Einfachheit und möglichst schneller Bereitstellung des Patches.“