Microsoft zal vandaag een noodpatch voor een ernstig lek in Windows uitbrengen, waardoor aanvallers hun rechten op het systeem kunnen verhogen. De kwetsbaarheid werd gisteren al door Microsoft gerapporteerd in een advisory. Het lek bevindt zich in het Microsoft .NET Framework en laat aanvallers op eenvoudige wijze webservers platleggen. De softwaregigant gaf in de advisory een tijdelijke oplossing en liet weten dat het de noodzaak voor een noodpatch zou onderzoeken.
Gisterenavond werd besloten dat dit vanwege de ernst van de kwetsbaarheid toch nodig was. Het lek bevindt zich in alle ondersteunde Windows-versie en laat een aanvaller ook zijn rechten verhogen. In eerste instantie stelde Microsoft nog vast dat een aanvaller alleen een denial of service kon veroorzaken.
Niet alleen is dit de eerste noodpatch van Microsoft dit jaar, het zal ook de honderdste beveiligingsupdate zijn die de softwaregigant uitbrengt. Tijdens de patchcyclus van december zou het dit aantal al hebben bereikt, ware het niet dat een update voor een SSL-probleem wegens kwaliteitsredenen werd teruggetrokken. De update wordt vanaf vanavond aangeboden.
Update 14:47
Er lijkt enige verwarring te zijn of de vanavond aangekondigde update voor het ASP-lek is. Via Twitter meldt Microsoft dat er een "out-of-band security update" voor Security Advisory 2659883 komt. Dat is deze advisory, die voor ASP.NET lek waarschuwt. De out-of-band patch is voor een ernstig-lek waardoor een aanvaller zijn rechten kan verhogen, terwijl het ASP-lek een Denial of Service conditie betreft.
Deze posting is gelocked. Reageren is niet meer mogelijk.