ASP.NET plaudert Vertraulichkeiten aus

Unternehmen setzen die Microsoft-Technologie ASP.NET auf ihren Servern ein, um für ein .NET-Framework Webanwendungen zu erstellen (ASP: Active Server Pages). Einem Bericht von ZDNet zufolge liegt der Fehler in der Verschlüsselungsroutine. Ein Angreifer, der die Schwachstelle ausnutzt, kann vertrauliche Daten entschlüsseln und manipulieren. Wie ZDNet berichtet, kursiert in einschlägigen Kreisen bereits ein Werkzeug, das die Lücke in einer Netzwerkumgebung automatisch findet und ausnutzt. Microsoft geht in seinem Sicherheitshinweis zum Thema aber noch nicht davon aus, dass Angreifer den Programmfehler bereits für sich verwenden.

Dem amerikanischen Newsdienst gemäß hat Juliano Rizzo die Lücke entdeckt. Der Sicherheitsexperte teilt mit, ein Angreifer könne auf Basis des Programmfehlers leicht Cookies entschlüsseln und Nutzerdaten oder andere Inhalte auslesen, die mit der ASP.NET-API verschlüsselt wurden.

Microsoft hat noch keine Lösung für das Problem, bietet aber einen Workaround an, mit dem Administratoren die Folgen der Schwachstelle in ASP.NET mildern können.