Patch für kritische ASP.NET-Lücke steht zum Download bereit

Microsoft bietet den Fix anfänglich nur über das Download Center an. Die automatische Verteilung über Windows Update erfolgt erst in den kommenden Tagen. Das Risiko der Anfälligkeit in ASP.NET stuft der Softwarekonzern als "hoch" ein.

Microsoft hat wie angekündigt ein außerplanmäßiges Update veröffentlicht, das eine kritische Lücke in ASP.NET schließt. Es kann ab sofort über das Microsoft Download Center heruntergeladen werden. In den kommenden Tagen soll der Patch auch über Windows Update und Windows Server Update verteilt werden.

Das Risiko, das von der Anfälligkeit ausgeht, stuft Microsoft als „hoch“ ein. Betroffen sind alle Versionen des .NET-Framework unter Windows XP, Server 2003, Vista, Server 2008, Windows 7 und Server 2008 R2. Einer Sicherheitsmeldung zufolge sind die Desktop-Betriebssysteme XP, Vista und 7 nicht angreifbar, solange auf ihnen kein Webserver läuft.

Microsoft hatte in der vergangenen Woche vor der Schwachstelle gewarnt. Das Problem sei, dass Fehlermeldungen von ASP.NET zu viele Informationen enthielten. Angreifer könnten dadurch die Verschlüsselung von zurückgeschickten Daten umgehen, erklärte Paul Henry, Sicherheitsexperte bei Lumension, gegenüber ZDNet. „Die Methode hinter den ASP.NET-Angriffen ist nicht neu.“ Der Patch richte voraussichtlich die zuvor als Behelfslösung vorgeschlagene Standard-Fehlermeldung automatisch ein.

„Es ist ein wenig seltsam, dass der Fix nicht sofort über Windows Update zur Verfügung steht“, sagte Andrew Storms, Direktor für Security Operations bei nCircle. „Administratoren und Verbraucher müssen den Patch manuell herunterladen und einspielen. Für Netzwerkadministratoren, die ISS-Websites betreiben, ist ein manueller Download offenbar ein vernünftiger Kompromiss zwischen Einfachheit und möglichst schneller Bereitstellung des Patches.“

Themenseiten: Microsoft, Server, Servers, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Patch für kritische ASP.NET-Lücke steht zum Download bereit

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *