# Tuesday, 28 September 2010

Ausserplanmaessiges Sicherheitsupdate fuer die ASP.NET-Schwachstelle 2416728 am 28.09.2010

Microsoft veröffentlicht heute ein außerplanmäßiges Sicherheitsupdate für die Sicherheitsanfälligkeit in ASP.NET, die eine Offenlegung von Informationen ermöglichen kann.

Die Sicherheit seiner Kunden und Partner ist für Microsoft ein vordringliches Anliegen. Um diese beim sicheren Betreiben Ihrer IT-Infrastruktur bzw. ihres Computers optimal zu unterstützen, wird Microsoft heute, Dienstag, den 28. September 2010, gegen 19:00 Uhr Mitteleuropäische Zeit eine außerplanmäßige Sicherheitsaktualisierung (Out of Band Release to Address Microsoft Security Advisory 2416728 welches diese Microsoft-Sicherheitsempfehlung (2416728) betrifft) veröffentlichen.

Das Update behebt die in der kürzlich veröffentlichten Sicherheitsempfehlung beschriebenen Schwachstelle in ASP.NET. Das Update wird als “Wichtig” eingestuft und betrifft alle Versionen des .NET-Frameworks, die auf Windows-Server-Systemen installiert sind.
Endkunden Windows Systeme bzw. Ihr Computer zu Hause ist nur betroffen, wenn Sie Ihren PC zu Hause als Webserver einsetzen. Ansonsten ist dieses Sicherheitsupdate gerichtet an Windows Server bzw. Web Server-Systeme auf Microsoft Windows basierend.

Microsoft hat sich für den Weg des Out-of-Band-Updates entschieden, da bereits vereinzelte Angriffe auf die Schwachstelle beobachtet und zudem immer mehr Versuche aufgezeichnet wurden, die die zuvor veröffentlichten Workarounds aushebeln aushebeln wollten.

Ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, kann Daten wie den Ansichtszustand anzeigen, der vom Zielserver verschlüsselt wurde, oder auf dem Zielserver Daten aus Dateien wie "web.config" lesen. Dadurch kann der Angreifer die Dateninhalte manipulieren. Indem die veränderten Inhalte an einen betroffenen Server zurückgesendet werden, kann der Angreifer die Fehlercodes beobachten, die vom Server zurückgegeben werden. Microsoft sind derzeit begrenzte, aktive Angriffe bekannt.

Das Update ist vollständig getestet, genügt den hohen Standards von Microsoft und wird ab dem genannten Zeitpunkt über das Microsoft Download Center bereit gestellt. Der Weg über das Download Center gibt Administratoren von Enterprise-Systemen, Betreibern von Web-Servern sowie betroffenen Endkunden die Möglichkeit, das Update schnellst möglich zu erhalten und auf ihren Systemen testen zu können. In den kommenden Tagen wird das Update auch per Microsoft Update und Windows Server Update Service (WSUS) bereit stehen. Microsoft testet derzeit die Verteilung über diese Wege. Kunden, die das automatische Update von Windows einsetzen, erhalten das Update automatisch, wenn die Verteilung über diese Distributionskanäle stabil läuft.

Die US-Kollegen geben in einem Webcast, der heute um 22.00 Uhr hiesiger Zeit stattfindet, weitere Informationen zum Update bekannt und beantworte auch Fragen von Kunden.

Solche außerplanmäßigen Sicherheitsupdates (Details in englisch für IT-Professionals) werden von uns nur aus wichtigen Gründen veröffentlicht und sollten daher umgehend installiert werden bzw. wie oben beschrieben, der Einsatz geprüft werden. Diese Vorabinformation soll Ihnen helfen, die außerplanmäßigen Sicherheitsaktualisierungen auch in Ihrem Unternehmen bzw. auf Ihrem Privat Computer (via kostenfreiem Microsoft Update) bzw. Web-Server möglichst rasch zum Einsatz zu bringen.

Um von der Veröffentlichung der Sicherheitsaktualisierung per E-Mail informiert zu werden und auch in Zukunft sicherheitsrelevante Informationen automatisch zu bekommen, können Sie die „Microsoft Security Notification Service: Comprehensive Version“ abonnieren oder lesen Sie den Weblog des Chief Security Advisor Deutschland, Michael Kranawetter: Chief Security Advisor Blog - Deutschland - Michael Kranawetter

Weitere Details:

Um sich weitergehend mit dem Thema Computer und Sicherheit in der IT zu informieren, empfehle ich Ihnen sich auf folgenden Seiten regelmäßig zu informieren und automatisch den Computer über das kostenfreie Microsoft Update mit aktuellen (Sicherheits-) Updates zu aktualisieren:

Für Rückfragen empfehle ich Ihnen die beiden folgenden Foren in deutscher Sprache: MSDN Security Forum oder das TechNet Windows Client Forum

Jetzt diesen Blogpost kommentieren: Comments [0]

Abgelegt und gepostet unter: Development and Related | MSDN Online | Security | Windows
Artikel (enthält 632 Wörter) erschienen am:   | Published 420 weeks, 5 hours ago

Related posts:
Meetup in Muenchen: Gaming 2.0 – Welcome to the VR und AR Age am 17. November 2016
Visual Studio Code 1.3 - Tabs, Extensions View und mehr Neuigkeiten
Welche Screen Capture Software verwende ich?
PDF-Download: Microsoft Azure verstehen - ein Leitfaden fuer Entwickler
Greift zu! Die Microsoft Virtual Academy (MVA) hat jetzt einen Embed-Player
Visual Studio Code 1.0 - Unterlagen zur Lunch-Session auf der dotnet Cologne 2016

All comments require the approval of the site owner before being displayed.
Name
E-mail
Home page

Comment (HTML not allowed)  

[Captcha]Enter the code shown (prevents robots):
Live Comment Preview

Page rendered at  Tuesday, 16 October 2018 18:18:45 (W. Europe Daylight Time, UTC+02:00)



Jahresübersicht: 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 2009 | 2008 | 2007 | 2006


Visual Studio Code - ein kostenloser Code-Editor für Linux, OSX und Windows - jetzt ausprobieren

Navigation
Startseite
Kay Giza auf Twitter
Hilfe & Support
Archiv: Artikel & Posts nach Monaten
Artikel & Posts nach Kategorien
Giza-Blog.de Blogroll
Giza-Blog.de Tag Cloud
Giza-Blog.de Statistik
Über den Autor
Impressum

Visual Studio Code - ein kostenloser Code-Editor, Open Source, für Linux, OSX und Windows

Blog via RSS abonnieren: RSS 2.0  

Categories
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Categories
Aufreger (72) Cloud (112) Codezone (47) Community (406) Development and Related (899) Downloads (554) Dynamics (21) Expression (117) Ich lese zur Zeit (35) IE8 (140) Kurioses (134) Mediathek (130) MSDN Online (160) News (555) Office 2007 (263) Office365 (94) Private (161) Security (209) TechEd09 (19) Tools (306) Visual Studio (31) Windows (712) Windows Intune (25) Windows Live (233) Windows Phone (47) Xbox (16) XTOPIA und Technical Summit (66) Zum Blog an sich (77)
Check it out:

Die letzten 5 Kommentare:


Blogroll

[Feed] .NET Developer Blogs
[Feed] Blog von Bernhard Frank
[Feed] Blog von Jens Häupel
[Feed] Blog von Stefan Falz
[Feed] CloudBloggers.de
[Feed] codefest.at
[Feed] Damir Tomicic
[Feed] DotNetGerman Bloggers
[Feed] Excel Ticker
[Feed] Franks kleiner Brainpool
[Feed] gehirnwindung.de
[Feed] IT & Consumer Electronics Weblog
[Feed] ITProBlogs.de
[Feed] klaus_b@.NET
[Feed] Peter Bucher | Auf den Spuren von .NET
[Feed] Pixelplastic
[Feed] René Drescher-Hackel Weblog
[Feed] Software Dev Blog
[Feed] Tobbi's Blog
[Feed] Weblog von Alexander Steireif
[Feed] Weblog von Jürgen Gutsch


Statistik
Total Posts: 2083
This Year: 0
This Month: 0
This Week: 0
Comments: 1408

Last Update: Monday, 31 October 2016 09:23:17 (W. Europe Standard Time, UTC+01:00)
Disclaimer

These postings are provided "AS IS" with no warranties, and confers no rights.
Use of included code samples are subject to the terms specified at Microsoft - Information on Terms of Use. The content of this site are my own personal opinions and do not represent my employer's view in anyway. In addition, my thoughts and opinions often change, and as a weblog is intended to provide a semi-permanent point in time snapshot you should not consider out of date posts to reflect my current thoughts and opinions.
Please read: Impressum.

© Copyright 2018 Kay Giza. Alle Rechte vorbehalten.

Theme design by Jacob Hodges und angepasst von Kay Giza. Eingesetzte Blogsoftware: dasBlog!

powerde by ASP.NET 2.0 [Valid RSS]