# Tuesday, 28 September 2010

Microsoft veröffentlicht heute ein außerplanmäßiges Sicherheitsupdate für die Sicherheitsanfälligkeit in ASP.NET, die eine Offenlegung von Informationen ermöglichen kann.

Die Sicherheit seiner Kunden und Partner ist für Microsoft ein vordringliches Anliegen. Um diese beim sicheren Betreiben Ihrer IT-Infrastruktur bzw. ihres Computers optimal zu unterstützen, wird Microsoft heute,
Dienstag, den 28. September 2010, gegen 19:00 Uhr Mitteleuropäische Zeit eine außerplanmäßige Sicherheitsaktualisierung (Out of Band Release to Address Microsoft Security Advisory 2416728 welches diese Microsoft-Sicherheitsempfehlung (2416728) betrifft) veröffentlichen.


Das Update behebt die in der kürzlich veröffentlichten Sicherheitsempfehlung beschriebenen Schwachstelle in ASP.NET. Das Update wird als “Wichtig” eingestuft und betrifft alle Versionen des .NET-Frameworks, die auf Windows-Server-Systemen installiert sind.
Endkunden Windows Systeme bzw. Ihr Computer zu Hause ist nur betroffen, wenn Sie Ihren PC zu Hause als Webserver einsetzen. Ansonsten ist dieses Sicherheitsupdate gerichtet an Windows Server bzw. Web Server-Systeme auf Microsoft Windows basierend.

Microsoft hat sich für den Weg des Out-of-Band-Updates entschieden, da bereits vereinzelte Angriffe auf die Schwachstelle beobachtet und zudem immer mehr Versuche aufgezeichnet wurden, die die zuvor veröffentlichten Workarounds aushebeln aushebeln wollten.

Ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, kann Daten wie den Ansichtszustand anzeigen, der vom Zielserver verschlüsselt wurde, oder auf dem Zielserver Daten aus Dateien wie "web.config" lesen. Dadurch kann der Angreifer die Dateninhalte manipulieren. Indem die veränderten Inhalte an einen betroffenen Server zurückgesendet werden, kann der Angreifer die Fehlercodes beobachten, die vom Server zurückgegeben werden. Microsoft sind derzeit begrenzte, aktive Angriffe bekannt.

Das Update ist vollständig getestet, genügt den hohen Standards von Microsoft und wird ab dem genannten Zeitpunkt über das Microsoft Download Center bereit gestellt. Der Weg über das Download Center gibt Administratoren von Enterprise-Systemen, Betreibern von Web-Servern sowie betroffenen Endkunden die Möglichkeit, das Update schnellst möglich zu erhalten und auf ihren Systemen testen zu können. In den kommenden Tagen wird das Update auch per Microsoft Update und Windows Server Update Service (WSUS) bereit stehen. Microsoft testet derzeit die Verteilung über diese Wege. Kunden, die das automatische Update von Windows einsetzen, erhalten das Update automatisch, wenn die Verteilung über diese Distributionskanäle stabil läuft.

Die US-Kollegen geben in einem Webcast, der heute um 22.00 Uhr hiesiger Zeit stattfindet, weitere Informationen zum Update bekannt und beantworte auch Fragen von Kunden.

Solche außerplanmäßigen Sicherheitsupdates (Details in englisch für IT-Professionals) werden von uns nur aus wichtigen Gründen veröffentlicht und sollten daher umgehend installiert werden bzw. wie oben beschrieben, der Einsatz geprüft werden. Diese Vorabinformation soll Ihnen helfen, die außerplanmäßigen Sicherheitsaktualisierungen auch in Ihrem Unternehmen bzw. auf Ihrem Privat Computer (via kostenfreiem Microsoft Update) bzw. Web-Server möglichst rasch zum Einsatz zu bringen.


Um von der Veröffentlichung der Sicherheitsaktualisierung per E-Mail informiert zu werden und auch in Zukunft sicherheitsrelevante Informationen automatisch zu bekommen, können Sie die „Microsoft Security Notification Service: Comprehensive Version“ abonnieren oder lesen Sie den Weblog des Chief Security Advisor Deutschland, Michael Kranawetter: Chief Security Advisor Blog - Deutschland - Michael Kranawetter

Weitere Details:

Um sich weitergehend mit dem Thema Computer und Sicherheit in der IT zu informieren, empfehle ich Ihnen sich auf folgenden Seiten regelmäßig zu informieren und automatisch den Computer über das kostenfreie Microsoft Update mit aktuellen (Sicherheits-) Updates zu aktualisieren:

Für Rückfragen empfehle ich Ihnen die beiden folgenden Foren in deutscher Sprache: MSDN Security Forum oder das TechNet Windows Client Forum

Jetzt diesen Blogpost kommentieren: Comments [0]


All comments require the approval of the site owner before being displayed.
Name
E-mail
Home page

Comment (HTML not allowed)  

[Captcha]Enter the code shown (prevents robots):

Live Comment Preview


Jahresübersicht: 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 2009 | 2008 | 2007 | 2006


Visual Studio Code - ein kostenloser Code-Editor für  Linux, OSX und Windows - jetzt ausprobieren