Microsoft kündigt an, heute einen außerplanmäßigen Patch für die kürzlich entdeckte Sicherheitslücke in ASP.NET zu veröffentlichen. Betroffen sind alle Versionen des .NET Framework unter WindowsXP, Server 2003, Vista, Server 2008, Windows 7 sowie der Server 2008 R2.

Die Versionen WindowsXP, Vista sowie Windows 7 sind jedoch nicht angreifbar, wenn auf ihnen kein Webserver läuft!
Mittels präparierter Anfragen an den Webserver, kann die Sicherheitslücke ausgenutzt werden und sich somit Zugriff auf geschützte Dateien verschaffen. Die Fehlercodes, die der Webserver dabei zurücksendet, können zum Entschlüsseln der Dateien benutzt werden.

„Aufgrund unserer Analyse der Bedrohungslage haben wir entschieden, ein außerplanmäßiges Update bereitzustellen, um unsere Kunden zu schützen. Wir haben vereinzelte Angriffe und Versuche registriert, aktuelle Sicherheitsmaßnahmen und Workarounds zu umgehen“, schreibt Dave Forstrom, Direktor von Microsofts Trustworthy Computing Division, in einem Blogeintrag

Das Update wird wahrscheinlich im Microsoft Download Center zur Verfügung gestellt.

Der nächste offizielle Microsoft-Patchday ist für den 12. Oktober angesetzt!