Kurz vor dem Jahreswechsel hat Microsoft ein außerplanmäßiges Sicherheitsupdate für die .NET Laufzeitumgebung veröffentlicht.
Die Lücke war erst gestern entdeckt worden, machte aber offenbar schnelles Handeln erforderlich, weswegen Microsoft nicht bis zum nächsten turnusmäßigen Patchday am 10. Januar 2012 warten wollte.
Betroffen von der Sicherheitslücke sind alle Versionen des .NET-Frameworks unter allen Windows-Versionen seit Windows XP inklusive der Server-Varianten. Die Lücke kann ausgenutzt werden, um Denial of Service Attacken gegen ASP.NET-Server zu starten und diese damit lahm zu legen.
Ein entsprechendes "Security Advisory" ist bereits verfügbar:
Microsoft Security Advisory (2659883): Vulnerability in ASP.NET Could Allow Denial of Service
Ein offizielles Security-Bulletin soll unter dieser Adresse folgen:
Microsoft Security Bulletin MS11-100 - Critical : Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2638420)
Die Verteilung des Sicherheitsupdates über Windows Update hat bereits begonnen. Nachfolgend die Links für den manuellen Download:
Sicherheitsupdate für Microsoft .NET Framework 4
Sicherheitsupdate für Microsoft .NET Framework 3.5.1 unter Windows 7 und Windows Server 2008 R2
Sicherheitsupdate für Microsoft .NET Framework 3.5.1 unter Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1
Sicherheitsupdate für Microsoft .NET Framework 3.5 Service Pack 1 unter Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008
Sicherheitsupdate für Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Vista Service Pack 2 und Windows Server 2008 Service Pack 2
Sicherheitsupdate für Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Server 2003 und Windows XP
Sicherheitsupdate für Microsoft .NET Framework 1.1 Service Pack 1 unter Windows XP, Windows Server 2003 (64 Bit), Windows Vista und Windows Server 2008
Sicherheitsupdate für Microsoft .NET Framework 1.1 Service Pack 1 unter Windows Server 2003 Service Pack 2 (32 Bit)
Die Lücke war erst gestern entdeckt worden, machte aber offenbar schnelles Handeln erforderlich, weswegen Microsoft nicht bis zum nächsten turnusmäßigen Patchday am 10. Januar 2012 warten wollte.
Betroffen von der Sicherheitslücke sind alle Versionen des .NET-Frameworks unter allen Windows-Versionen seit Windows XP inklusive der Server-Varianten. Die Lücke kann ausgenutzt werden, um Denial of Service Attacken gegen ASP.NET-Server zu starten und diese damit lahm zu legen.
Ein entsprechendes "Security Advisory" ist bereits verfügbar:
Microsoft Security Advisory (2659883): Vulnerability in ASP.NET Could Allow Denial of Service
Ein offizielles Security-Bulletin soll unter dieser Adresse folgen:
Microsoft Security Bulletin MS11-100 - Critical : Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2638420)
Die Verteilung des Sicherheitsupdates über Windows Update hat bereits begonnen. Nachfolgend die Links für den manuellen Download:
Sicherheitsupdate für Microsoft .NET Framework 4
Sicherheitsupdate für Microsoft .NET Framework 3.5.1 unter Windows 7 und Windows Server 2008 R2
Sicherheitsupdate für Microsoft .NET Framework 3.5.1 unter Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1
Sicherheitsupdate für Microsoft .NET Framework 3.5 Service Pack 1 unter Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008
Sicherheitsupdate für Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Vista Service Pack 2 und Windows Server 2008 Service Pack 2
Sicherheitsupdate für Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Server 2003 und Windows XP
Sicherheitsupdate für Microsoft .NET Framework 1.1 Service Pack 1 unter Windows XP, Windows Server 2003 (64 Bit), Windows Vista und Windows Server 2008
Sicherheitsupdate für Microsoft .NET Framework 1.1 Service Pack 1 unter Windows Server 2003 Service Pack 2 (32 Bit)