Microsoft veröffentlicht heute ein außerplanmäßiges Sicherheitsupdate für die Sicherheitsanfälligkeit in ASP.NET, die eine Offenlegung von Informationen ermöglichen kann.Die Sicherheit seiner Kunden und Partner ist für Microsoft ein vordringliches Anliegen. Um diese beim sicheren Betreiben Ihrer IT-Infrastruktur bzw. ihres Computers optimal zu unterstützen, wird Microsoft heute, Dienstag, den 28. September 2010, gegen 19:00 Uhr Mitteleuropäische Zeit eine außerplanmäßige Sicherheitsaktualisierung (Out of Band Release to Address Microsoft Security Advisory 2416728 welches diese Microsoft-Sicherheitsempfehlung (2416728) betrifft) veröffentlichen. Das Update behebt die in der kürzlich veröffentlichten Sicherheitsempfehlung beschriebenen Schwachstelle in ASP.NET. Das Update wird als “Wichtig” eingestuft und betrifft alle Versionen des .NET-Frameworks, die auf Windows-Server-Systemen installiert sind. Endkunden Windows Systeme bzw. Ihr Computer zu Hause ist nur betroffen, wenn Sie Ihren PC zu Hause als Webserver einsetzen. Ansonsten ist dieses Sicherheitsupdate gerichtet an Windows Server bzw. Web Server-Systeme auf Microsoft Windows basierend.Microsoft hat sich für den Weg des Out-of-Band-Updates entschieden, da bereits vereinzelte Angriffe auf die Schwachstelle beobachtet und zudem immer mehr Versuche aufgezeichnet wurden, die die zuvor veröffentlichten Workarounds aushebeln aushebeln wollten.Ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, kann Daten wie den Ansichtszustand anzeigen, der vom Zielserver verschlüsselt wurde, oder auf dem Zielserver Daten aus Dateien wie "web.config" lesen. Dadurch kann der Angreifer die Dateninhalte manipulieren. Indem die veränderten Inhalte an einen betroffenen Server zurückgesendet werden, kann der Angreifer die Fehlercodes beobachten, die vom Server zurückgegeben werden. Microsoft sind derzeit begrenzte, aktive Angriffe bekannt. Das Update ist vollständig getestet, genügt den hohen Standards von Microsoft und wird ab dem genannten Zeitpunkt über das Microsoft Download Center bereit gestellt. Der Weg über das Download Center gibt Administratoren von Enterprise-Systemen, Betreibern von Web-Servern sowie betroffenen Endkunden die Möglichkeit, das Update schnellst möglich zu erhalten und auf ihren Systemen testen zu können. In den kommenden Tagen wird das Update auch per Microsoft Update und Windows Server Update Service (WSUS) bereit stehen. Microsoft testet derzeit die Verteilung über diese Wege. Kunden, die das automatische Update von Windows einsetzen, erhalten das Update automatisch, wenn die Verteilung über diese Distributionskanäle stabil läuft.Die US-Kollegen geben in einem Webcast, der heute um 22.00 Uhr hiesiger Zeit stattfindet, weitere Informationen zum Update bekannt und beantworte auch Fragen von Kunden.Solche außerplanmäßigen Sicherheitsupdates (Details in englisch für IT-Professionals) werden von uns nur aus wichtigen Gründen veröffentlicht und sollten daher umgehend installiert werden bzw. wie oben beschrieben, der Einsatz geprüft werden. Diese Vorabinformation soll Ihnen helfen, die außerplanmäßigen Sicherheitsaktualisierungen auch in Ihrem Unternehmen bzw. auf Ihrem Privat Computer (via kostenfreiem Microsoft Update) bzw. Web-Server möglichst rasch zum Einsatz zu bringen.
Um von der Veröffentlichung der Sicherheitsaktualisierung per E-Mail informiert zu werden und auch in Zukunft sicherheitsrelevante Informationen automatisch zu bekommen, können Sie die „Microsoft Security Notification Service: Comprehensive Version“ abonnieren oder lesen Sie den Weblog des Chief Security Advisor Deutschland, Michael Kranawetter: Chief Security Advisor Blog - Deutschland - Michael KranawetterWeitere Details:
Um sich weitergehend mit dem Thema Computer und Sicherheit in der IT zu informieren, empfehle ich Ihnen sich auf folgenden Seiten regelmäßig zu informieren und automatisch den Computer über das kostenfreie Microsoft Update mit aktuellen (Sicherheits-) Updates zu aktualisieren:
Für Rückfragen empfehle ich Ihnen die beiden folgenden Foren in deutscher Sprache: MSDN Security Forum oder das TechNet Windows Client Forum
Remember Me
Page rendered at Saturday, 16 February 2019 08:14:54 (W. Europe Standard Time, UTC+01:00)
Blog via RSS abonnieren:
Die letzten 5 Kommentare:
These postings are provided "AS IS" with no warranties, and confers no rights. Use of included code samples are subject to the terms specified at Microsoft - Information on Terms of Use. The content of this site are my own personal opinions and do not represent my employer's view in anyway. In addition, my thoughts and opinions often change, and as a weblog is intended to provide a semi-permanent point in time snapshot you should not consider out of date posts to reflect my current thoughts and opinions. Please read: Impressum.