Microsoft veröffentlicht .Net-Notfallpatch

Microsoft hat zwei Wochen vor dem regulären nächsten Patchday ein neues Sicherheitsupdate herausgebracht und behebt damit vier gefährliche Sicherheitslücken in Microsoft .NET-Framework. Eine Sicherheitslücke hat Microsoft als kritisch eingestuft, und für eine andere gibt es bereits einen Exploit-Code.

Im Security Bulletin MS11-100 wird eine Schwachstelle beschrieben, die Angreifern eine Initiierung von Hash-Kollisionen für DoS-Angriffe auf ASP.NET-Server ermöglicht. Die Sicherheitsanfälligkeit entsteht laut Microsofts Security Advisory 2659883 bei der Verarbeitung von ASP.Net-Werten in einer ASP.NET-Formularbereitstellung. Angreifer können speziell präparierte Beiträge an einen ASP.NET-Server senden, wodurch die Leistung stark herabgesetzt wird, was einem Denial-of-Service-Angriff entspricht. Über diese Angriffsmöglichkeit sind laut Microsoft zwar schon ausführliche Informationen veröffentlicht worden, aber noch soll es keine Angriffe gegeben haben.

Eine weitere und deutlich gefährlichere Lücke ermöglicht Dritten die Übernahme bestehender Benutzerkonten auf einer ASP.NET-Site. Sie räumt Angreifern höhere Rechte ein, sodass beliebige Befehle und Programme ausgeführt werden können. Veröffentlicht wurde die Sicherheitslücke zuerst durch das Sicherheitsunternehmen n-runs.

Betroffen sind das Microsoft .NET Framework 1.1 Service Pack 1, Microsoft. NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5 Service Pack 1, Microsoft .NET Framework 3.5.1 und das Microsoft .NET Framework 4 auf allen unterstützten Editionen von Microsoft Windows.

Seit dem 29. Dezember werden die Updates für Windows XP, Vista, 7, Windows Server 2003, 2008 und 2008 R2 über die Update-Funktion von Windows verteilt. Sie installieren sich automatisch, wenn das Auto-Update aktiviert ist. Ist dies nicht der Fall, rät Microsoft vor allem Administratoren anfälliger Web-Server die Updates schnellstmöglich herunterzuladen und zu installieren.