29.09.2010, 09:27 Uhr
Ausserplanmässiger Flicken von Microsoft
Microsoft hat den nächsten Patchday im Oktober nicht abgewartet, sondern ausserplanmässig eine Lücke im ASP.NET-Framework gestopft.
Microsoft beseitigt mit einem ausserplanmässigen Sicherheitsupdate eine Schwachstelle in ASP.NET. Vor knapp einer Woche hatten die Redmoner in einer Sicherheitsempfehlung vor dieser Sicherheitslücke gewarnt. Microsofts ASP.NET-Framework kommt bei vielen Internetseiten für die Erstellung von Webanwendungen zum Einsatz. Sicherheitsforscher hatten entdeckt, dass ASP.NET - ebenso wie das Framework JavaServer Faces (JSF) - anfällig für so genannte Padding-Oracle-Attacken ist. Damit können verschlüsselte Sitzungsdaten entziffert werden.
Ein «Padding Oracle» hat nichts mit dem Datenbankriesen Oracle zu tun. Vielmehr handelt es sich um ein kryptografisches Orakel, also um ein System, das Hinweise gibt, wenn man Fragen an das System richtet. Im Fall von ASP.NET weist es einen Fehler auf, der es Angreifern ermöglicht, durch gezielte Anfragen den Verschlüsselungscode zu ermitteln. Die Lücke in ASP.NET wird mit dem im Sicherheitsbulletin MS10-070 beschriebenen Sicherheitsupdate geschlossen.
In der Regel veröffentlicht Microsoft Securityupdates nur an jedem zweiten Dienstag eines Monats, dem so genannten Patchday. Nur selten wird eine Ausnahme gemacht. Das Sicherheitsupdate MS10-070 ist für Windows XP SP3, Windows Server 2003 SP2, Windows Vista SP1, Windows Server 2008 und Windows 7 (32- & 64-Bit) verfügbar. Das Update ist mit dem zweithöchsten Hinweis «wichtig» gekennzeichnet. Anwender sollten das den Patch unbedingt über Windows Update herunterladen und installieren.