Ankündigung: Out-of-Band-Sicherheitsbulletin für ASP.NET
Microsoft wird aller Voraussicht nach heute gegen 19.00 Uhr hiesiger Zeit ein Sicherheitsbulletin außer der Reihe (Out of Band) veröffentlichen. Eine Sicherheitsempfehlung (2659883) ist bereits verfügbar. Verschiedene Medien, darunter Spiegel Online oder heise Security, berichteten bereits über die Schwachstelle.
Das Update behebt eine Schwachstelle in ASP.NET, die zu einem Denial of Service führen kann. Weitere Details zu den Auswirkungen eines Missbrauchs der Schwachstelle haben die US-Kollegen in einem TechNet-Beitrag veröffentlicht.
Entdeckt wurde die Schwachstelle, die sich auch in anderen Webprogrammiersprachen und Plattformen für Web-Anwendungen wie Java, PHP oder Python findet, von zwei deutschen Sicherheitsexperten. Erstmals öffentlich präsentiert wurden die Erkenntnisse im Rahmen des derzeit in Berlin stattfindenden 28C3 (Chaos Communication Congress). Details finden sich in einer PDF-Datei, die von den beiden Sicherheitsforschern veröffentlicht wurde.
Microsoft sind derzeit keine Versuche bekannt, die Schwachstelle zu missbrauchen. Dennoch empfehlen wir allen Kunden, die in der Sicherheitsempfehlung (2659883) beschriebenen Schritte zur Risikominimierung zu befolgen. Das Sicherheitsupdate wird automatisch per Windows Update und Windows Server Update verteilt, steht ab heute Abend aber auch über das Microsoft Download Center bereit.
Die US-Kollegen werden in einem Webcast heute (29.12.2012) um 22.00 Uhr hiesiger Zeit die Details zum Sicherheitsbulletin erläutern. Die Registrierung für den Webcast findet sich hier.