Kurz vor dem neuen Jahr hat Microsoft ausserplanmässig ein Sicherheits-Update veröffentlicht. Der Patch für Windows XP, Vista, 7 sowie Windows Server 2003, 2008 und 2008 R2 richtet sich an vier Sicherheitslücken in ASP.Net. Eine dieser Schwachstellen wurde von den Redmondern als gefährlich eingestuft.

Zum ausserplanmässigen Update wurden Microsoft veranlasst, als nach Weihnachten ein Sicherheitsleck in ASP.Net öffentlich gemacht wurde, welches mittels Hash-Kollisionen die Prozessorlast so erhöhen kann, dass das betroffene System nicht mehr reagiert. Die Schwachstelle findet sich zudem auch in PHP, Java und in Googles V8.

Zwei weitere Fehler in ASP.Net, die nun ebenfalls behoben wurden, können zur Ausweitung der Rechte ausgenutzt werden, zum einen, indem ein User einen präparierten E-Mail-Link öffnet, und zum anderen durch den Besitz von gültigen Anmeldeinformationen. Die vierte, gepatchte Sicherheitslücke lässt sich für Spoofing-Attacken ausnutzen, indem man von einer Webseite auf eine andere weitergeleitet wird.
Der nächste reguläre Patch-Tag von Microsoft ist am 12. Januar.