Microsoft patcht außer der Reihe

SicherheitSicherheitsmanagementSoftware

Das Leck in ASP.NET stuft der Software-Konzern als so kritisch ein, dass er mit der Veröffentlichung eines Updates nicht bis zum Patchday im Oktober warten will.

In einem Weblog-Beitrag kündigt Microsoft das Update für heute Abend an. Dieses dichtet das ASP.NET-Leck ab, das alle Versionen des .NET-Frameworks betrifft. Die Schwachstelle ist damit zwar auch auf Desktop-Systemen mit Windows zu finden, doch solange dort kein Webserver läuft sind diese nicht angreifbar. Wichtig ist das Update dagegen für Windows-Server, denn dort kann durch zahlreiche Anfragen und Auswertung der Fehlermeldungen die Verschlüsselung geknackt werden, wodurch beispielsweise Zugriff auf Konfigurationsdateien erlangt werden kann. Bis zum Update hilft zumindest der Workaround, customErrors so zu konfiguriert werden, dass unabhängig vom Fehler stets dieselbe Fehlerseite zurückgeliefert wird.