1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Microsoft warnt vor kritischer Lücke in ASP.NET

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von Anderl, 30. Dezember 2011.

  1. Anderl
    Offline

    Anderl Administrator Digital Eliteboard Team

    Registriert:
    30. November 2007
    Beiträge:
    17.343
    Zustimmungen:
    99.637
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Microsoft warnt vor kritischer Lücke in ASP.NET

    In einem kürzlich veröffentlichten Security Advisory (

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    ) machen die Entwickler des Softwarekonzerns Microsoft auf eine kritische Sicherheitslücke aufmerksam. Es geht dabei um eine Schwachstelle in ASP.NET.
    Bislang wurde Microsoft noch nicht darauf aufmerksam, dass die Sicherheitslücke aktuell schon aktiv ausgenutzt wird. Allerdings arbeiteten die Entwickler aus Redmond trotzdem in den letzten Tagen mit Hochdruck an einem Update, welches die Sicherheitslücke aus der Welt schafft.
    Da es sich um eine sehr kritische Sicherheitslücke handelt, will Microsoft nicht bis zum nächsten Patch-Day im Januar des kommenden Jahres mit der Veröffentlichung eines Updates warten. Über das

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    wurde bekannt gegeben, dass man mit der Verteilung am heutigen Donnerstag beginnt.
    Bei der angesprochenen Problematik handelt es sich um eine als kritisch eingestufte Sicherheitslücke. Durch das Ausnutzen der Schwachstelle könnte ein Angreifer den Angaben von Microsoft zufolge eine Denial-of-Service-Attacke starten und den jeweiligen Server, auf dem ASP.NET läuft, lahm legen.
    In diesem Monat hat Microsoft im Zuge des offiziellen Patch-Days, der in gewohnter Art und Weise jeden zweiten Dienstag im Monat stattfindet, schon 13 Updates veröffentlicht. Diesbezüglich wurden unter anderem drei kritische Sicherheitslücken in den Produkten von Microsoft geschlossen.


    Quelle: winfuture
     
    #1
    Pilot gefällt das.
  2. phantom

    Nervigen User Advertisement

  3. camouflage
    Offline

    camouflage VIP

    Registriert:
    21. März 2008
    Beiträge:
    5.440
    Zustimmungen:
    3.516
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Tief im Westen
    AW: Microsoft warnt vor kritischer Lücke in ASP.NET

    Außer der Reihe
    Microsoft stopft kritische Windows-Lücke
    Microsoft hat kurzfristig ein Sicherheits-Update für alle Windows-Versionen bereit gestellt, um mehrere Schwachstellen im .NET-Framework zu schließen. Eine der Lücken stuft Microsoft als kritisch ein, für eine andere ist Exploit-Code verfügbar.
    Mit dem am 29. Dezember veröffentlichten Security Bulletin MS11-100 hat Microsoft in diesem Jahr doch noch ein Sicherheits-Update außerhalb des regulären Update-Turnus veröffentlicht. Das hatte der Windows-Hersteller bis dahin vermeiden können. Anlass ist die Veröffentlichung einer Sicherheitslücke nebst Beispiel-Code in ASP.NET durch das Sicherheitsunternehmen n-runs aus dem hessischen Oberursel.
    Nach Angaben von Jonathan Ness im Microsoft Security Research & Defense Blog hatte Microsoft bereits drei Sicherheitslücken im .NET-Framework geschlossen, die Updates jedoch noch nicht veröffentlicht, als n-runs am 28. Dezember die vierte Lücke veröffentlichte. Die Ausnutzung dieser vierten Schwachstelle bedeutet einen DoS-Angriff (Denial of Service) auf einen anfälligen Web-Server.
    Eine solche Anfälligkeit allein wäre jedoch weder ein Grund für ein nicht turnusmäßiges Security Bulletin noch für eine Einstufung der Lücke als kritisches Sicherheitsrisiko. Vielmehr ist es eine der anderen Schwachstellen, die als kritisch gilt. Sie ermöglicht es einem Angreifer ein bestehendes Benutzerkonto einer ASP.NET-Site zu übernehmen und mit dessen Rechten alle möglichen Aktionen zu starten. Dies schließt auch die Ausführung beliebiger Befehle und Programme ein.
    Diese beiden Lücken sowie die zwei anderen sind aus Sicht Microsofts offenbar Grund genug ein außerordentliches Security Bulletin zu veröffentlichen. Da sich Microsoft eine solche Entscheidung erfahrungsgemäß nicht leicht macht, zumal so kurz vor Jahresende, sollten vor allem Administratoren potenziell betroffener Web-Server die bereit gestellten Updates umgehend einspielen.
    Der nächste reguläre Patch Day ist für Dientag, 10. Januar 2012, angesetzt.
     
    #2
    Pilot gefällt das.

Diese Seite empfehlen