Patch für kritische ASP.NET-Lücke steht zum Download bereit

Microsoft hat wie angekündigt ein außerplanmäßiges Update veröffentlicht, das eine kritische Lücke in ASP.NET schließt. Es kann ab sofort über das Microsoft Download Center heruntergeladen werden. In den kommenden Tagen soll der Patch auch über Windows Update und Windows Server Update verteilt werden.

Das Risiko, das von der Anfälligkeit ausgeht, stuft Microsoft als „hoch“ ein. Betroffen sind alle Versionen des .NET-Framework unter Windows XP, Server 2003, Vista, Server 2008, Windows 7 und Server 2008 R2. Einer Sicherheitsmeldung zufolge sind die Desktop-Betriebssysteme XP, Vista und 7 nicht angreifbar, solange auf ihnen kein Webserver läuft.

Microsoft hatte in der vergangenen Woche vor der Schwachstelle gewarnt. Das Problem sei, dass Fehlermeldungen von ASP.NET zu viele Informationen enthielten. Angreifer könnten dadurch die Verschlüsselung von zurückgeschickten Daten umgehen, erklärte Paul Henry, Sicherheitsexperte bei Lumension, gegenüber ZDNet. „Die Methode hinter den ASP.NET-Angriffen ist nicht neu.“ Der Patch richte voraussichtlich die zuvor als Behelfslösung vorgeschlagene Standard-Fehlermeldung automatisch ein.

„Es ist ein wenig seltsam, dass der Fix nicht sofort über Windows Update zur Verfügung steht“, sagte Andrew Storms, Direktor für Security Operations bei nCircle. „Administratoren und Verbraucher müssen den Patch manuell herunterladen und einspielen. Für Netzwerkadministratoren, die ISS-Websites betreiben, ist ein manueller Download offenbar ein vernünftiger Kompromiss zwischen Einfachheit und möglichst schneller Bereitstellung des Patches.“

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Stunden ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago