Microsoft präsentiert Not-Patch

Microsoft beseitigt mit einem ausserplanmässigen Sicherheits-Update eine Schwachstelle in ASPLexikon.NET. Vor knapp einer Woche hatten die Redmoner in einer Sicherheitsempfehlung vor dieser Sicherheitslücke gewarnt. Microsofts ASP.NET-Framework kommt bei vielen Internetseiten für die Erstellung von Webanwendungen zum Einsatz. Sicherheitsforscher hatten entdeckt, dass ASP.NET - ebenso wie das FrameworkLexikon JavaServer Faces (JSF) - anfällig für sogenannte Padding-Oracle-Attacken ist. Damit können verschlüsselte Sitzungsdaten entziffert werden.

Ein «Padding Oracle» hat nichts mit dem Datenbankriesen Oracle zu tun. Vielmehr handelt es sich um ein kryptografisches Orakel, also um ein System, das Hinweise gibt, wenn man Fragen an das System richtet. Im Fall von ASP.NET weist es einen Fehler auf, der es Angreifern ermöglicht, durch gezielte Anfragen den Verschlüsselungscode zu ermitteln. Die Lücke in ASP.NET wird mit dem im Sicherheitsbulletin MS10-070 beschriebenen Sicherheits-Update geschlossen.

Wer braucht das Update?

In der Regel veröffentlicht Microsoft Security-Updates nur an jedem zweiten Dienstag eines Monats, dem sogenannten Patch-Day. Nur selten wird eine Ausnahme gemacht. Das Sicherheits-Update MS10-070 ist für Windows XP SP3, Windows Server 2003 SP2, Windows Vista SP1, Windows Server 2008 und Windows 7 (32 & 64 Bit) verfügbar. Das Update ist mit dem zweithöchsten Hinweis «wichtig» gekennzeichnet. Anwender sollten den Patch unbedingt über Windows Update herunterladen und installieren.