Cyberkriminelle nutzen neuesten Microsoft-0-Day-Exploit

In einer Sicherheits-Anweisung anfangs der Woche sprach Microsoft von limitierten, aktiven Angriffen. Die Sicherheitslücke existiert in allen Versionen von ASP.Net. Microsoft sagte, dass man einen Patch via Windows-Update zur Verfügung stellen möchte. Ein Zeitpunkt wurde nicht genannt. Ob Anwender noch drei Wochen bis zum nächsten Patchday warten müssen oder es einen Fix vorher gibt, ist nicht bekannt. Bis dahin sollten Entwickler das Loch mit einem temporären Workaround stopfen, was das Editieren der web.config-Datei involviert.

SharePoint Server 2007 und SharePoint 2010 sind ebenfalls anfällig für ASP.NET-Angriffe, sagte Microsoft. Die Firma aus Redmond versuchte nicht, das Problem klein zu reden. Alle Seiten, die ASP.NET einsetzen, seien anfällig. Allerdings verurteilte das Microsoft Security Response Center das Veröffentlichen der Schwachstelle. Man sei in dem festen Glauben, dass die Bedrohung steigt, sobald Details das Tageslicht erreichen. (jdo)