Windows: Sicherheits-Update von Microsoft

Wie Microsoft bekannt gab, hat der Softwareriese abseits der bekannten Patchdays ein Sicherheitsupdate veröffentlicht. Das Update schließt mehrere Lücken im .NET-Framework, darunter ein Fehler mittels dessen Angreifer Hash-Kollisionen für DOS-Angriffe auf ASP.NET-Server nutzen können. Des Weiteren ist es Angreifern ohne das Update möglich, höhere Nutzerrechte für bestehende ASP.NET-Konten zu erlangen.

"Die Sicherheitsanfälligkeit wird dadurch verursacht, dass ASP.NET Werte in einer ASP.NET-Formularbereitstellung bearbeitet, was zu einer Hashkollision führt. Ein Angreifer kann eine kleine Anzahl speziell gestalteter Beiträge an einen ASP.NET-Server senden, wodurch die Leistung stark genug herabgesetzt wird, um eine Denial-of-Service-Bedingung zu verursachen. Microsoft ist sich dessen bewusst, dass ausführliche Informationen veröffentlicht wurden, mit denen diese Sicherheitsanfälligkeit ausgenutzt werden kann, doch aktive Angriffe sind nicht bekannt."

Das Update wird seit gestern Abend für Windows 7, Windows Vista, Windows XP, sowie Windows Server 2003, 2008 und 2008 RC2 angeboten.