Notfall-Patch für ASP.NET-Schwachstelle kommt

Microsoft will am heutigen Dienstagabend außerplanmäßig einen Patch für ASP.NET veröffentlichen, der Fehler in der Implementierung kryptografischer Funktionen ausbessern soll. Die Redmonder wollen den Patch aber vorerst nur im Microsoft Download Center zur Verfügung stellen, damit Administratoren ihn schnell auf ihren Servern installieren können. Erst später will Microsoft das Update über die automatische Update-Funktion verteilen.

Die Schwachstelle lässt sich aus der Ferne ausnutzen, um bestimme Statuswerte von Serversteuerelementen (ViewStates) und Cookies auszulesen sowie unbefugt Dateien von Servern herunterzuladen. Das "Padding Oracle Exploitation Tool" (Poet) ist in der Lage, derartige Lücken zu missbrauchen. Konkret betroffen sind unter anderem Microsoft Sharepoint 2010, SharePoint Foundation 2010, Microsoft Office SharePoint Server 2007, Windows SharePoint Services 3.0 und Windows SharePoint Services 2.0.

Mit dem Patch werden die Workarounds überflüssig und müssen wieder rückgängig gemacht werden. Sie sehen vor, die Anzeige spezifischer Fehlermeldungen des Server zu unterbinden. (dab)