Microsoft hat kritische ASP-NET-Schwachstelle gestopft

Microsoft Sicherheits-Bekanntmachung MS10-070 ist veröffentlicht. Damit haben die Windows-Macher einen Patch außerhalb des normalen Update-Zyklus zur Verfügung gestellt, der eine Sicherheitslücke in ASP.NET (CVE-2010-3332) stopft.

Durch die Sicherheitslücke lassen sich unter Umständen beliebige Dateien innerhalb der ASP.NET-Applikation herauslesen. Im Prinzip untergräbt es die Web-Sicherheit. Etwas unverständlich ist, warum Microsoft das Update nur als "wichtig" einstuft. Die Schwachstelle wird laut Microsoft bereits aktiv ausgenutzt. Auch der schnelle Patch außerhalb des Patchday deutet wohl eher auf "kritisch" hin. (jdo)