Außerplanmäßige Sicherheitsaktualisierung für ASP.NET (MS10-070) ab sofort verfügbar
Die Sicherheit unserer Kunden und Partner ist für Microsoft ein vordringliches Anliegen. Um Sie beim sicheren Betreiben Ihrer IT-Infrastruktur optimal zu unterstützen, hat Microsoft heute abend eine außerplanmäßige Sicherheitsaktualisierung veröffentlicht. Diese schützt alle unterstützten Versionen von Microsoft Windows bzw. ASP.NET vor den Angriffsmöglichkeiten die in der Microsoft-Sicherheitsempfehlung (2416728) beschrieben sind. Microsoft hat sich für die Veröffentlichung entschieden, da bereits vereinzelte Angriffe auf die Schwachstelle beobachtet und zudem immer mehr Versuche aufgezeichnet wurden, den zuvor veröffentlichten Workaround auszuhebeln.
Um die Verfügbarkeit der außerplanmäßigen Sicherheitsaktualisierung zu beschleunigen wird diese ausnahmsweise zuerst über das Microsoft Download Center verfügbar gemacht:
- Microsoft Download Center Results for:"Security Update for Microsoft .NET Framework" : https://www.microsoft.com/downloads/en/results.aspx?displaylang=en&freetext=Security+Update+for+Microsoft+.NET+Framework&categoryid=7&period=30&nr=50&sortCriteria=Date&sortOrder=Ascending&stype=ss_rr
- Auflistung nach Betriebssystem: Microsoft Security Bulletin MS10-070 – Important: Vulnerability in ASP.NET Could Allow Information Disclosure (2418042) - https://www.microsoft.com/technet/security/bulletin/ms10-070.mspx
(Link bei “Component” führt direkt zum Download der jeweiligen Sicherheitsaktualisierung)
Diese außerplanmäßige Sicherheitsaktualisierung beseitigt eine Sicherheitsanfälligkeit in ASP.NET. Primär sollten daher entsprechende (Web-)Server auf den neuesten Stand gebracht werden. Der Weg über das Download Center gibt Administratoren in Unternehmen sowie eventuell betroffenen Endkunden die Möglichkeit, die Aktualisierung möglich rasch zu erhalten und auf ihren Systemen zu testen. In den kommenden Tagen wird die Aktualisierung auch per Windows Update und Windows Server Update Service (WSUS) bereit stehen. Für unsere Kunden, die die automatische Aktualisierung in Windows aktiviert haben, wird die Aktualisierung dann bei Verfügbarkeit selbsttätig eingespielt und installiert.
Solche außerplanmäßigen Sicherheitsaktualisierungen werden von uns nur aus wichtigen Gründen veröffentlicht, und sollten daher umgehend installiert werden. Diese Information soll Ihnen helfen, die außerplanmäßigen Sicherheitsaktualisierungen auch in Ihrem Unternehmen möglichst rasch zum Einsatz zu bringen.
Weitere technische Informationen zu dieser außerplanmäßigen Sicherheitsaktualisierung erhalten Sie auf den folgenden Webseiten:
- Kurzzusammenfassung: Microsoft Security Bulletin Summary for September 2010 : https://www.microsoft.com/technet/security/bulletin/ms10-sep.mspx
- Detaillierte Erklärung: Microsoft Security Bulletin MS10-070 – Important: Vulnerability in ASP.NET Could Allow Information Disclosure (2418042) - https://www.microsoft.com/technet/security/bulletin/ms10-070.mspx
- Microsoft-Sicherheitsempfehlung (2416728) Sicherheitsanfälligkeit in ASP.NET kann Offenlegung von Informationen ermöglichen : https://www.microsoft.com/germany/technet/sicherheit/empfehlungen/2416728.mspx
- Microsoft Security Advisory (2416728) Vulnerability in ASP.NET Could Allow Information Disclosure: https://www.microsoft.com/technet/security/advisory/2416728.mspx
- Q&A zur außerplanmäßigen Sicherheitsaktualisierung - ASP.NET Security Update Now Available : https://weblogs.asp.net/scottgu/archive/2010/09/28/asp-net-security-update-now-available.aspx
Und ab hier nur mehr für Developer
- Understanding the ASP.NET Vulnerability : https://blogs.technet.com/b/srd/archive/2010/09/17/understanding-the-asp-net-vulnerability.aspx
- Additional Information about the ASP.NET Vulnerability: https://blogs.technet.com/b/srd/archive/2010/09/20/additional-information-about-the-asp-net-vulnerability.aspx
Auch nach Einspielen der Sicherheits-Aktualisierung empfehlen wir als zusätzlichen Schutz die Überprüfung der eigenen PC Sicherheit wie aktive Firewall, aktuelle Antivirus Lösung und regelmäßige Software Aktualisierungen. So sind Computer Benutzer auch in Zukunft gut geschützt.
Um von der Veröffentlichung der Sicherheitsaktualisierung per E-Mail informiert zu werden, und auch in Zukunft sicherheitsrelevante Informationen automatisch zu bekommen, können Sie die „Microsoft Technical Security Notifications“ abonnieren. Auch auf dem Blog und dem Twitter Feed des Microsoft Security Response Center (MSRC) @msftsecresponse gibt es regelmäßig neue Informationen rund um das Thema Sicherheit
Mit freundlichen Grüßen,
Gerhard Göschl
Manager strategisches Marketing und Sicherheits-Sprecher
Microsoft Österreich GmbH