Microsoft skal i løpet av dagen komme med en sikkerhetsoppdatering til selskapets .NET Framework for å fjerne en sårbarhet i ASP.net som allerede blir utnyttet av ondsinnede. Mest utsatt er Windows Server-operativsystemene, men også pc-versjonene kan rammes dersom det kjøres en webserver med ASP.net-støtte på pc-en.
Dette opplyser Microsoft i et blogginnlegg.
Microsoft skriver videre at en ekstraordinær utgivelse av sikkerhetsfiksen har blitt ansett som nødvendig, basert på selskapets overvåkning av trussellandskapet. Microsoft har observert begrensede angrep og gjentakende forsøk på omgå eksisterende forsvar og midlertidige løsninger.
Sikkerhetsfiksen vil i første omgang kun gjøres tilgjengelig for nedlasting fra denne siden. Den må deretter installeres manuelt. Microsoft har gjort det på denne måten fordi det tydeligvis er raskere å legge ut sikkerhetsfiksen som en nedlastbar fil, enn det er å gjøre den tilgjengelig via Windows Update- og Windows Server Update-tjenestene. Via disse tjenestene blir sikkerhetsfiksen først tilgjengelig om noen dager.
Microsoft varslet om den aktuelle sårbarheten i en melding utgitt den 17. september. Sårbarheten regnes ikke blant de mest kritiske, da den ikke åpner for full systemtilgang. Derimot kan den utnyttes til å få tilgang til å lese og endre data som finnes i filer på serveren, samt vise visse krypterte data i klartekst.
