Microsoft retter farlig webfejl i al hast

En farlig denial-of-service-sårbarhed i ASP.NET blev rettet af Microsoft uden for den normale opdateringscyklus lige før nytår.

Artikel top billede

Computerworld News Service: Microsoft udgav lige før nytår en hasterettelse uden for sin normale opdateringscyklus, som lukker en sårbarhed i webplatformen ASP.NET.

Sårbarheden gør det muligt for hackere at gennemføre denial-of-service-angreb på servere ved hjælp af blot en strøm af filer på 100 kilobyte.

Selvom fejlen endnu ikke er blevet udnyttet i et virkeligt scenarie, har Microsoft vurderet, at risikoen for problemer er stor nok til at skride til handling i det, der blev eneste separate rettelse i 2011.

Kan sluge det hele

Microsofts security advisory 2659883 rangerer sårbarheden som et kritisk sikkerhedshul, der kan misbruges til at udnytte en svaghed i den måde, ASP.NET og flere andre webteknologier heriblandt Java og PHP 5 genererer hash-tabeller fra en HTTP POST-forespørgsel, og derved sluge en servers samlede CPU-ressourcer i en periode med blot en enkelt fil.

Normalt ville det kræve et botnet bestående af tusindvis eller hundredtusindvis af computere for at gennemføre et denial-of-service-angreb med så stor succes på alt andet end de dårligst beskyttede servere.

"En angriber kunne potentielt sende sådanne forespørgsler gentagne gange, hvilket ville forringe ydelsen tilstrækkeligt til at skabe en denial-of-service-tilstand selv på servere med flere kerner eller på klynger af servere," advarer Microsoft i sin security advisory.

Har reageret hurtigt

Sårbarheden blev først offentliggjort i sidste uge under Chaos Communication Congress i Berlin af sikkerhedseksperterne Alexander Klink og Julian Wälde.

Det skete en måned efter de oplyste Microsoft om fejlen. Microsoft er blevet rost af flere sikkerhedseksperter for at have reageret hurtigt i sagen.

"Microsoft har reageret og implementeret en løsning fantastisk hurtigt, da selskabet først blev gjort opmærksom på sårbarheden, da de tyske sikkerhedseksperter var ved at være færdige med deres arbejde. Vi vil følge, hvordan de andre påvirkede projekter og leverandører (PHP, Oracle, Python, Ruby og andre) udruller deres rettelser," udtaler teknologichef for Qualys, Wolfgang Kandek.

Andrew Storms fra nCircle er imponeret over, at Microsoft overhovedet har reageret i løbet af juleperiode, hvor mange virksomheder simpelthen lukker ned.

"Torsdagens hasterettelse er årets første og bryder hvad, der ellers ville have været en perfekt gennemførelse af Microsofts opdateringsskema for 2011. Jeg er sikker på, at der var nogle folk på Microsofts sikkerhedsteam, der ellers var ved at finde champagnen frem for at skåle for et vellykket år," siger Storms.

Oversat af Thomas Bøndergaard

Event: Cyber Security Festival 2026

Sikkerhed | København

Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.700 it-professionelle. Du kan glæde dig til oplæg fra mere end 70 talere og møde mere end 50 leverandører over to dage.

18 & 19 november 2026 | Gratis deltagelse

Navnenyt fra it-Danmark

Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

Boris Sudar

Renewtech ApS

WITRICS A/S har pr. 1. juli 2026 ansat Tim Meicker som Sales & Marketing Manager. Han skal især beskæftige sig med marketingstrategi, salgsaktiviteter, samt virksomhedens kommercielle vækst. Han kommer fra en stilling som projektansat hos WITRICS A/S. Han er uddannet BA (hons) Strategic Management og MBA fra Syddansk Universitet. Nyt job

Tim Meicker

WITRICS A/S

IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

Sarah Warm

IFS Danmark A/S

Immeo har pr. 16. marts 2026 ansat Honey Arora som Senior Manager. Han kommer fra en stilling som Data Product Owner hos Centrica Energy. Nyt job

Honey Arora

Immeo