Microsoft lukker det alvorlige hul i ASP.Net, der blev opdaget for nylig, med en ekstraordinær rettelse.
Rettelsen udsendes klokken 19 i aften dansk tid. Men den kommer ikke på Windows Update i første omgang. I stedet skal administratorer selv hente den på Microsoft Download Center.
Sikkerhedsrettelsen kommer uden for Microsofts skema for månedlige udsendelser af rettelser. Det forklarer firmaet med, at den lukker et hul, som udnyttes aktivt i begrænsede angreb. Samtidig får sårbarheden dog kun firmaets næstalvorligste risikovurdering.
Sårbarheden ligger i ASP.Nets implementering af krypteringsalgoritmen AES. Ved at analysere fejlmeddelelser kan en angriber få adgang til fortrolig information.
Efter nogle dage bliver rettelsen også tilgængelig via Windows Update og Windows Server Update Services.
Links til rettelsen til de enkelte versioner af ASP.Net skulle komme på Scott Gus blog.
Læs også Alvorligt sikkerhedshul i ASP.Net