Microsoft: Sicherheitsupdate für Windows schließt vier Lücken in ASP.Net
Microsoft hat ein außerplanmäßiges Sicherheitsupdate für Windows 7, Vista, XP und Server 2003, 2008 und 2008 R2 veröffentlicht, welches vier Lücken in ASP.Net schließen soll. Eine dieser Sicherheitslücken wird von Microsoft als kritisch eingestuft.
Sicherheitslücke 1: Angriff auf Webserver
Über eine Sicherheitslücke in ASP.Net konnten Angreifer Hash-Kollisionen für DoS-Angriffe auf Webservern initiieren. Vor einigen Tagen wurde man auf die Sicherheitslücke aufmerksam, laut Microsoft seien aber keine Angriffe bekannt geworden.
Sicherheitslücke 2: Übernahme des ASP.Net-Benutzerkontos
Durch eine weitere Sicherheitslücke in ASP.Net konnten Angreifer bisher ein bestehendes ASP.Net-Benutzerkonto ins Visier nehmen und übernehmen. Mit den Rechten des Benutzerkontos hätten Angreifer frei handeln können. Diese Sicherheitslücke wurde von Microsoft als kritisch eingestuft.
Sicherheitslücke 3: Rechteausweitung
Die dritte Sicherheitslücke ist mit der zweiten verknüpft und erlaubt ebenfalls, dass Angreifer von einer Ausweitung der Rechte eines Benutzerkontos profitieren und dies für ihre Zwecke nutzen.
Sicherheitslücke 4:
Sicherheitslücke Nummer 4 ermöglicht Spoofing-Attacken durch Angreifer, wodurch Besucher auf andere Internetseiten weitergeleitet werden können.
Das Sicherheitsupdate wird über den Dienst Windows Update ausgeliefert oder kann auch manuell über die Website von Microsoft bezogen werden.
Am 10. Januar 2012 findet der nächste – planmäßige – Microsoft Patchday statt. In 2011 veröffentlichte der Software-Riese insgesamt 100 Sicherheitsupdates, zirka ein Drittel wurden von Konzern als kritisch eingestuft.
