DoS-Angriffe: Letzter Microsoft-Patch des Jahres für Windows
Der Patch für Windows XP, Vista, 7 sowie Windows Server 2003, 2008 und 2008 R2 beseitigt insgesamt vier Sicherheitslücken in ASP.Net. Dazu gehört auch das vor zwei Tagen bekanntgewordene Sicherheitsloch in ASP.Net. Mittels Hash-Kollisionen kann die Prozessorlast so erhöht werden, dass das betroffene System nicht mehr reagiert. Außer in ASP.Net steckt der Fehler auch in PHP, Java und in Googles V8. Microsoft hat mit der Veröffentlichung des Patches reagiert, weil die Sicherheitslücke öffentlich bekanntgemacht wurde. Bisher gibt es keine Informationen dazu, dass das Sicherheitsloch aktiv ausgenutzt wird.
Mit dem Patch werden zwei weitere Sicherheitslücken in ASP.Net geschlossen, die beide zur Rechteausweitung missbraucht werden können. Das eine Sicherheitsloch kann ausgenutzt werden, indem ein Opfer zum Öffnen eines präparierten E-Mail-Links verleitet wird. Der Angreifer kann sich dann erhöhte Rechte verschaffen und die volle Kontrolle über ein fremdes System erlangen. Das Sicherheitsloch wird von Microsoft als gefährlich klassifiziert und war ebenfalls ein Grund, den Patch außer der Reihe zu veröffentlichen. Für die Ausnutzung des anderen Sicherheitslochs muss der Angreifer gültige Anmeldeinformationen besitzen, um sich erhöhte Rechte zu verschaffen.
Die vierte Sicherheitslücke in ASP.Net kann für Spoofing-Attacken missbraucht werden, indem Besucher einer Webseite auf eine andere Webseite umgeleitet werden. Der Fehler liegt in einer falschen Überprüfung von URLs.
Der Sicherheitspatch für die Windows-Plattform(öffnet im neuen Fenster) kann über das entsprechende Security Bulletin heruntergeladen werden. Zudem wird der Patch über Microsofts Updatefunktion verteilt.
In diesem Monat hatte Microsoft 13 Patches veröffentlicht, um insgesamt 19 Sicherheitslücken zu beseitigen. Eigentlich sollte noch ein Patch mehr erscheinen, der eine weitere Windows-Sicherheitslücke beseitigt. Dieser Windows-Patch wird erst im Januar 2012 veröffentlicht, weil es damit in der Schlussphase der Prüfung Probleme gegeben hatte.
Das in diesem Monat bekanntgewordene Sicherheitsloch in Windows 7 wird weiter von Microsoft untersucht. Wann ein Patch für das Sicherheitsloch erscheint, ist noch nicht bekannt. Der nächste Patchday von Microsoft ist am 12. Januar 2012.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.