Schutzempfehlung zu entdeckter ASP.NET-Schwachstelle

Webseitenbetreiber sollten Ihre Webauftritte anhand der Empfehlungen im Microsoft Security Advisory 2416728 durch eine statische Fehlerseite absichern: Unlängst ist öffentlich über eine kryptologische Angriffsfläche in ASP.NET diskutiert worden, deren Ausnutzung dem Angreifer Zugriff auf verschlüsselte ViewState-Daten und ab Version 3.5 SP1 zudem Zugriff auf Dateien innerhalb der betroffenen Webanwendung ermöglichen könnte. Bisher ist keine Ausnutzung dieser Schwachstelle bekannt geworden. Damit das möglichst so bleibt, bis Microsoft die Fehlerkonstellationen geprüft, ASP.NET-Verbesserungen erstellt, deren Tests abgeschlossen und entsprechende Updates bereitgestellt hat, sollten Webmaster ihre aktiven ASP.NET-Anwendungen prüfen und erforderlichenfalls schützen. Im Security Research & Defense-Blog finden Sie über das Security Advisory hinausgehende Details zur Funktionsweise der Schwachstelle sowie ein Test-Skript, mit dem Administratoren die Anfälligkeit der ASP.NET-Anwendungen auf Ihren Webservern überprüfen können. Auch MSDN-Berater Dariusz Parys bietet in seinem Blog eine kurze Handlungsanweisung in deutscher Sprache.