Ausserplanmässiges Sicherheits-Update von Microsoft
Weil nach Weihnachten eine Sicherheitslücke in ASP.Net bekannt gemacht wurde, sah sich Microsoft gezwungen, noch vor dem Jahreswechsel einen Notfall-Patch zu veröffentlichen.
3. Januar 2012
Kurz vor dem neuen Jahr hat Microsoft ausserplanmässig ein Sicherheits-Update veröffentlicht. Der Patch für Windows XP, Vista, 7 sowie Windows Server 2003, 2008 und 2008 R2 richtet sich an vier Sicherheitslücken in ASP.Net. Eine dieser Schwachstellen wurde von den Redmondern als gefährlich eingestuft.
Zum ausserplanmässigen Update wurden Microsoft veranlasst, als nach Weihnachten ein Sicherheitsleck in ASP.Net öffentlich gemacht wurde, welches mittels Hash-Kollisionen die Prozessorlast so erhöhen kann, dass das betroffene System nicht mehr reagiert. Die Schwachstelle findet sich zudem auch in PHP, Java und in Googles V8.
Zwei weitere Fehler in ASP.Net, die nun ebenfalls behoben wurden, können zur Ausweitung der Rechte ausgenutzt werden, zum einen, indem ein User einen präparierten E-Mail-Link öffnet, und zum anderen durch den Besitz von gültigen Anmeldeinformationen. Die vierte, gepatchte Sicherheitslücke lässt sich für Spoofing-Attacken ausnutzen, indem man von einer Webseite auf eine andere weitergeleitet wird.
Der nächste reguläre Patch-Tag von Microsoft ist am 12. Januar. (abr)
Zum ausserplanmässigen Update wurden Microsoft veranlasst, als nach Weihnachten ein Sicherheitsleck in ASP.Net öffentlich gemacht wurde, welches mittels Hash-Kollisionen die Prozessorlast so erhöhen kann, dass das betroffene System nicht mehr reagiert. Die Schwachstelle findet sich zudem auch in PHP, Java und in Googles V8.
Zwei weitere Fehler in ASP.Net, die nun ebenfalls behoben wurden, können zur Ausweitung der Rechte ausgenutzt werden, zum einen, indem ein User einen präparierten E-Mail-Link öffnet, und zum anderen durch den Besitz von gültigen Anmeldeinformationen. Die vierte, gepatchte Sicherheitslücke lässt sich für Spoofing-Attacken ausnutzen, indem man von einer Webseite auf eine andere weitergeleitet wird.
Der nächste reguläre Patch-Tag von Microsoft ist am 12. Januar. (abr)
Weitere Artikel zum Thema
Dezember-Patchday: 13 Updates für Windows, Office und Internet Explorer
14. Dezember 2011 - Der letzte Microsoft-Patchday im Jahr 2011 bringt 13 Updates. Drei davon beheben kritische Sicherheitsanfälligkeiten, die die Remote-Code-Ausführung ermöglichen.Microsoft stopft vier Sicherheitslecks
9. November 2011 - Der November-Patchday von Microsoft fällt vergleichsweise klein aus: Die Redmonder haben nur gerade vier Updates für vier Sicherheitsanfälligkeiten veröffentlicht. Eine davon wird allerdings als kritisch eingestuft.Microsoft kündigt acht Updates an
9. Oktober 2011 - Mit acht Updates will Microsoft anlässlich seines Oktober-Patch-Tages insgesamt 23 Sicherheitslücken beheben. Betroffen sind unter anderem Windows und der Internet Explorer.Artikel kommentieren
