Außer der Reihe
Microsoft stopft kritische Windows-Lücke
Microsoft hat kurzfristig ein Sicherheits-Update für alle Windows-Versionen bereit gestellt, um mehrere Schwachstellen im .NET-Framework zu schließen. Eine der Lücken stuft Microsoft als kritisch ein, für eine andere ist Exploit-Code verfügbar.
Mit dem am 29. Dezember veröffentlichten Security Bulletin MS11-100 hat Microsoft in diesem Jahr doch noch ein Sicherheits-Update außerhalb des regulären Update-Turnus veröffentlicht. Das hatte der Windows-Hersteller bis dahin vermeiden können. Anlass ist die Veröffentlichung einer Sicherheitslücke nebst Beispiel-Code in ASP.NET durch das Sicherheitsunternehmen n-runs aus dem hessischen Oberursel.
Nach Angaben von Jonathan Ness im Microsoft Security Research & Defense Blog hatte Microsoft bereits drei Sicherheitslücken im .NET-Framework geschlossen, die Updates jedoch noch nicht veröffentlicht, als n-runs am 28. Dezember die vierte Lücke veröffentlichte. Die Ausnutzung dieser vierten Schwachstelle bedeutet einen DoS-Angriff (Denial of Service) auf einen anfälligen Web-Server.
Eine solche Anfälligkeit allein wäre jedoch weder ein Grund für ein nicht turnusmäßiges Security Bulletin noch für eine Einstufung der Lücke als kritisches Sicherheitsrisiko. Vielmehr ist es eine der anderen Schwachstellen, die als kritisch gilt. Sie ermöglicht es einem Angreifer ein bestehendes Benutzerkonto einer ASP.NET-Site zu übernehmen und mit dessen Rechten alle möglichen Aktionen zu starten. Dies schließt auch die Ausführung beliebiger Befehle und Programme ein.
Diese beiden Lücken sowie die zwei anderen sind aus Sicht Microsofts offenbar Grund genug ein außerordentliches Security Bulletin zu veröffentlichen. Da sich Microsoft eine solche Entscheidung erfahrungsgemäß nicht leicht macht, zumal so kurz vor Jahresende, sollten vor allem Administratoren potenziell betroffener Web-Server die bereit gestellten Updates umgehend einspielen.
Der nächste reguläre Patch Day ist für Dientag, 10. Januar 2012, angesetzt.
