Start Empfohlen Kritischer ASP.NET-Sicherheitspatch bedeutet zusätzliche Arbeitszeit für die IT über das Feiertagswochenende

Kritischer ASP.NET-Sicherheitspatch bedeutet zusätzliche Arbeitszeit für die IT über das Feiertagswochenende

52
0


Microsofts monatlicher Patch-Dienstag findet erst am 10. Januar statt, aber das Unternehmen wartet nicht darauf, einen kritischen Fehler in Computern mit installiertem ASP.NET-Framework zu beheben. Das Problem betrifft alle derzeit unterstützten Versionen von Windows, laut a Sicherheitsbulletin von der Firma.

Laut Microsofts Beschreibung des Fehlers besteht ein Problem darin, wie das Framework bestimmte Webanfragen verarbeitet. Wenn ein Angreifer eine Anfrage auf eine bestimmte Weise sendet, kann dies eine Erhöhung von Berechtigungen ermöglichen, die zur Ausführung von beliebigem Code führen kann. Der Fehler ist jedoch nicht leicht auszunutzen, da der Angreifer einige Informationen über das Opfer wissen muss.

„Um diese Schwachstelle auszunutzen, muss ein Angreifer ein Konto auf der ASP.NET-Site registrieren können und einen vorhandenen Benutzernamen kennen“, sagt Microsoft. Unabhängig davon bedeutet dies, dass die Feiertagswochenenden für IT-Administratoren möglicherweise etwas verkürzt sind, da sie die Fehlerbehebung in Eile bereitstellen. Hacker wissen, dass die IT-Überwachung über die Feiertage lasch ist, was diese Jahreszeit perfekt macht, um Angriffe zu starten.

Das Problem scheint auch ein Denial-of-Service-Risiko darzustellen. Das korrekte Ausnutzen der Sicherheitsanfälligkeit kann dazu führen, dass 100 Prozent der verfügbaren CPU-Prozesse aufgebraucht sind, was es dem Angreifer ermöglicht, eine ungepatchte Site in kurzer Zeit zu deaktivieren.

„Die Sicherheitsanfälligkeit besteht darin, dass ASP.NET speziell gestaltete Anforderungen hasht und diese Daten in eine Hash-Tabelle einfügt, was zu einer Hash-Kollision führt. Wenn viele dieser Kollisionen miteinander verkettet werden, wird die Leistung der Hash-Tabelle stark beeinträchtigt, was zum Denial-of-Service-Bedingung“, erklärt Microsoft.

Dieser außerhalb des Zyklus befindliche Patch folgt ein ziemlich arbeitsreicher Patch-Dienstag im Dezember, wo das Unternehmen 13 separate Patches veröffentlichte, darunter drei kritische Fixes. Mit diesen Patches wurden Risiken bei der Codeausführung im Windows-Kernel, ActiveX und Windows Media behoben.

Bildnachweis: gualtiero boffi/Shutterstock



Vorheriger ArtikelFügen Sie mit Smart PC Locker Pro eine weitere Sicherheitsebene hinzu
Nächster ArtikelGehackt! Umweltaktivismus-Site Care2, Benutzer ausgesetzt

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein