Microsoft stopft kritische .NET-Lücke außer der Reihe

Das Update soll vier Schwachstellen beheben. Über eine besonders kritische Sicherheitslücke können sich Angreifer erhöhte Rechte verschaffen und beliebige Befehle ausführen. Betroffen ist das .NET-Framework aller Windows-Versionen.

Noch kurz vor dem neuen Jahr hat Microsoft ein seltenes außerplanmäßiges Sicherheitsupdate veröffentlicht. MS11-100 ist zugleich das 100. und zugleich letzte Sicherheitsupdate, das in diesem Jahr aus Redmond kommt. Seine Veröffentlichung erfolgt Wochen vor dem regelmäßigen monatlichen „Patch Tuesday“.

Microsoft-Patchday

Microsoft sah sich zu einer schnellen Reaktion zwischen den Feiertagen veranlasst, weil bereits mehrere Sicherheitslücken bekannt waren und eine weitere öffentlich gemacht wurde: „Bevor wir von dieser Schwachstelle erfuhren, hatten wir eine Sicherheitsaktualisierung für .NET geplant, die drei Sicherheitslücken beheben sollte.“ Eine von diesen hätte es Angreifern erlauben können, sich höhere Rechte zu verschaffen: „Die schwerwiegendste dieser Schwachstellen würde es einem nicht autorisierten Angreifer erlauben, höhere Rechte zu erlangen, indem er eine präparierte Anfrage an die betreffende Site schickt. Mit der erfolgreichen Nutzung dieser Sicherheitslücke wäre es einem Angreifer möglich, im Rahmen eines vorhandenen Kontos auf der ASP.NET-Site beliebige Aktionen einzuleiten und auch jegliche Befehle auszuführen. Um diese Schwachstelle auszunützen, muss ein Angreifer ein Konto auf der ASP.NET-Site anmelden können und einen bestehenden Nutzernamen kennen.“

Das Update soll nunmehr vier Schwachstellen beheben, zu denen auch die zuletzt bekannt gewordene gehört, die Denial-of-Service-Attacken auf ASP.NET-Server ermöglicht. Die zu stopfenden Sicherheitslücken betreffen Microsofts .NET-Framework auf allen unterstützten Versionen von Windows einschließlich Windows XP SP3, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 sowie Windows Server 2008 R2.

Auf Systemen, für die automatische Updates aktiviert sind, kommen die Patches ohne Zutun der Nutzer an. Wer sie nicht aktiviert hat oder nicht auf die automatische Auslieferung warten will, kann manuell überprüfen, ob verfügbare Aktualisierungen bereitstehen. Updates außerhalb der Reihe signalisieren in der Regel ein hohes Risiko, da es bereits Exploits „in der freien Wildbahn“ gibt.

Themenseiten: Microsoft, Software, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Microsoft stopft kritische .NET-Lücke außer der Reihe

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *