Noch kurz vor dem neuen Jahr hat Microsoft ein seltenes außerplanmäßiges Sicherheitsupdate veröffentlicht. MS11-100 ist zugleich das 100. und zugleich letzte Sicherheitsupdate, das in diesem Jahr aus Redmond kommt. Seine Veröffentlichung erfolgt Wochen vor dem regelmäßigen monatlichen „Patch Tuesday“.
Microsoft sah sich zu einer schnellen Reaktion zwischen den Feiertagen veranlasst, weil bereits mehrere Sicherheitslücken bekannt waren und eine weitere öffentlich gemacht wurde: „Bevor wir von dieser Schwachstelle erfuhren, hatten wir eine Sicherheitsaktualisierung für .NET geplant, die drei Sicherheitslücken beheben sollte.“ Eine von diesen hätte es Angreifern erlauben können, sich höhere Rechte zu verschaffen: „Die schwerwiegendste dieser Schwachstellen würde es einem nicht autorisierten Angreifer erlauben, höhere Rechte zu erlangen, indem er eine präparierte Anfrage an die betreffende Site schickt. Mit der erfolgreichen Nutzung dieser Sicherheitslücke wäre es einem Angreifer möglich, im Rahmen eines vorhandenen Kontos auf der ASP.NET-Site beliebige Aktionen einzuleiten und auch jegliche Befehle auszuführen. Um diese Schwachstelle auszunützen, muss ein Angreifer ein Konto auf der ASP.NET-Site anmelden können und einen bestehenden Nutzernamen kennen.“
Das Update soll nunmehr vier Schwachstellen beheben, zu denen auch die zuletzt bekannt gewordene gehört, die Denial-of-Service-Attacken auf ASP.NET-Server ermöglicht. Die zu stopfenden Sicherheitslücken betreffen Microsofts .NET-Framework auf allen unterstützten Versionen von Windows einschließlich Windows XP SP3, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 sowie Windows Server 2008 R2.
Auf Systemen, für die automatische Updates aktiviert sind, kommen die Patches ohne Zutun der Nutzer an. Wer sie nicht aktiviert hat oder nicht auf die automatische Auslieferung warten will, kann manuell überprüfen, ob verfügbare Aktualisierungen bereitstehen. Updates außerhalb der Reihe signalisieren in der Regel ein hohes Risiko, da es bereits Exploits „in der freien Wildbahn“ gibt.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…