Sicherheitslücke in MS-ASP.Net
Microsoft hat eine Sicherheitslücke in ASP.Net bekannt gegeben. Das Problem kann laut Microsoft dann auftreten, wenn ASP-.Net-Anwendungen im so genannten StateServer-Modus laufen. Betroffen sei dabei das MS-.Net-Framework in der Version 1.0.
Ein Patch steht zum kostenlosen Download bereit. Die Gefährlichkeit wird von Microsoft als "Moderate" eingestuft.
PatchBuffer-Overflow
Der ungeprüfte Puffer tritt in einer Routine auf, die für die Behandlung von Cookies verantwortlich ist. Ein Angreifer könne über die Sicherheitslücke einen Puffer-Überlauf erwirken.
Die Folge wäre ein Neustart der ASP.Net-Anwendung. Für Anwender der Applikation würde dies den Verlust von Daten und Information der abgebrochenen Session zur Folge haben. Daneben sei es einem Angreifer möglich beliebigen Code auszuführen und ¿DoS-Attacken zu starten.
ASP.Net-Anwendungen, die im StateServer-Mode ohne Cookies laufen sind von der Sicherheitslücke nicht betroffen.