Microsofts Notfall-Patch für ASP.NET-Leck ist da

CloudServerSicherheitSicherheitsmanagementSoftware

Microsoft hat wie angekündigt ein Update außer der Reihe veröffentlicht, um das Leck in ASP.NET abzudichten. Zwar trägt das Update nur die Sicherheitseinstufung important, doch da das Leck bereits ausgenutzt wurde, stufte man es als so schwerwiegend ein, dass man nicht bis zum regulären Patch Day warten wollte.

Das Update soll nun alle von ASP.NET verschlüsselten Daten signieren, um zu verhindern, dass ein Angreifer darauf zugreifen und sie manipulieren kann. Durch einen Fehler war es bislang möglich, durch zahlreiche Anfragen beim Webserver Fehlermeldungen auszuwerten und so die Verschlüsselung zu knacken. Betroffen waren zwar prinzipiell alle Windows-Versionen mit installiertem .NET-Framework, angegriffen werden konnten aber nur die, auf denen ein Webserver lief.