Außerplanmäßige Sicherheitsaktualisierung für .NET Framework (MS11-100) ab sofort verfügbar

Die Sicherheit unserer Kunden und Partner ist für Microsoft ein vordringliches Anliegen. Um Sie beim sicheren Betreiben Ihrer IT-Infrastruktur optimal zu unterstützen, hat Microsoft heute abend eine außerplanmäßige Sicherheitsaktualisierung veröffentlicht. Diese schützt alle unterstützten Versionen von Microsoft Windows bzw. .NET Framework vor den Angriffsmöglichkeiten die in der Microsoft Sicherheitsempfehlung 2659883 beschrieben sind. Für unsere Kunden, die die automatische Aktualisierung in Windows aktiviert haben, wird die Aktualisierung selbsttätig eingespielt und installiert.

Die Sicherheitsanfälligkeit wird dadurch verursacht, dass ASP.NET Werte in einer ASP.NET-Formularbereitstellung bearbeitet, was zu einer Hashkollision führt. Ein Angreifer kann eine kleine Anzahl speziell gestalteter Beiträge an einen ASP.NET-Server senden, wodurch die Leistung stark genug herabgesetzt wird, um eine Denial-of-Service-Bedingung zu verursachen. Microsoft ist sich dessen bewusst, dass ausführliche Informationen veröffentlicht wurden, mit denen diese Sicherheitsanfälligkeit ausgenutzt werden kann, doch aktive Angriffe sind nicht bekannt.

Solche außerplanmäßigen Sicherheitsaktualisierungen werden von uns nur aus wichtigen Gründen veröffentlicht, und sollten daher umgehend installiert werden. Diese Information soll Ihnen helfen, die außerplanmäßigen Sicherheitsaktualisierungen auch in Ihrem Unternehmen möglichst rasch zum Einsatz zu bringen.

Weitere technische Informationen zu dieser außerplanmäßigen Sicherheitsaktualisierung erhalten Sie auf den folgenden Webseiten:

• Workaround gegen Denial of Service Attacke in ASP.NET #hashDoS #28C3: https://blogs.technet.com/b/austria/archive/2011/12/28/workaround-gegen-denial-of-service-attacke-in-asp-net-hashdos-28c3.aspx
• Microsoft kündigt Fix für ASP.NET #hashDoS an–Azure wird automatisch gefixt: https://blogs.technet.com/b/austria/archive/2011/12/29/microsoft-k-252-ndigt-fix-f-252-r-asp-net-hashdos-an-azure-wird-automatisch-gefixt.aspx
• Kurzzusammenfassung: Microsoft Security Bulletin Summary for Dezember 2011 : https://technet.microsoft.com/en-us/security/bulletin/ms11-dec
• Detaillierte Erklärung: Microsoft Security Bulletin MS11-100 – Critical / Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2638420) : https://technet.microsoft.com/en-us/security/bulletin/ms11-100
• Microsoft-Sicherheitsempfehlung (2659883) - Sicherheitsanfälligkeit in ASP.NET kann Denial-of-Service ermöglichen: https://technet.microsoft.com/de-at/security/advisory/2659883
• More information about the December 2011 ASP.Net vulnerability: https://blogs.technet.com/b/srd/archive/2011/12/27/more-information-about-the-december-2011-asp-net-vulnerability.aspx
• ASP.NET security update is live! : https://blogs.technet.com/b/srd/archive/2011/12/29/asp-net-security-update-is-live.aspx

Auch nach Einspielen der Sicherheits-Aktualisierung empfehlen wir als zusätzlichen Schutz die Überprüfung der eigenen PC Sicherheit wie aktive Firewall, aktuelle Antivirus Lösung und regelmäßige Software Aktualisierungen. So sind Computer Benutzer auch in Zukunft gut geschützt.

Um von der Veröffentlichung der Sicherheitsaktualisierung per E-Mail informiert zu werden, und auch in Zukunft sicherheitsrelevante Informationen automatisch zu bekommen, können Sie die „Microsoft Technical Security Notifications“ abonnieren. Auch auf dem MSRC Blog und dem MSRC Twitter Feed des Microsoft Security Response Center (MSRC) @msftsecresponse gibt es regelmäßig neue Informationen rund um das Thema Sicherheit