Wie heute Vormittag angekündigt, hat Microsoft mit MS11-100 ein Sicherheitsupdate außer der Reihe veröffentlicht. Das Update wird als „kritisch“ eingestuft und sollte daher umgehend installiert werden – obwohl derzeit keine aktiven Angriffe auf die geschlossene Lücke beobachtet werden. Betroffen sind alle derzeit unterstützten Versionen von Windows (XP SP3, Vista, Windows 7, Server 2003, Server 2008, Server 2008 R2) beziehungsweise alle ASP.NET-Versionen ab Version 1.1. Jedoch nur dann, wenn auf der Maschine ein Webserver läuft. Andernfalls besteht keine Notwendigkeit, das Update zu installieren.

Die in der Sicherheitsempfehlung (2659883) beschriebene Schwachstelle, die durch MS11-100 geschlossen wird, ist ein industrieweites Problem und nicht auf ASP.NET beschränkt. Nutzer, die sich auf Windows Update oder Windows Server Update verlassen, müssen keine weiteren Schritte unternehmen. Das Sicherheitsupdate wird automatisch installiert.

Technische Details zur Sicherheitslücke finden sich in einem Blogbeitrag der US-Kollegen. Außerdem werden die Kollegen in einem Webcast heute (29.12.2012) um 22.00 Uhr hiesiger Zeit die Details zum Sicherheitsbulletin erläutern. Die Registrierung für den Webcast findet sich hier.