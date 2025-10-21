Anzeige
Microsoft behebt Sicherheitslücke mit höchstem Gefahren-Score aller Zeiten

Microsoft hat eine Sicherheitslücke in einem seiner Dienste entdeckt und behoben. Das Ungewöhnliche daran ist, dass die Lücke fast einen „perfekten“ Gefahren-Score von den Entwickler:innen erhielt. Warum das Problem so gravierend war.

Von Marvin Fuhrmann
2 Min.
Microsoft behebt Sicherheitslücke mit höchstem Gefahren-Score aller Zeiten
Microsoft hat eine gravierende Sicherheitslücke geschlossen. (Bild: Shutterstock/JarTee)

Dass Unternehmen wie Microsoft Sicherheitslücken in ihren Diensten aufspüren und beheben, passiert immer wieder. Manche Hacker:innen werden sogar von großen Tech-Firmen dafür bezahlt, Sicherheitslücken aufzuspüren und mögliche Lösungen für das Beheben des Problems bereitzustellen. Das ist auch kein Wunder. Schließlich können solche Lücken in den Systemen zu enormen Schäden bei den Kund:innen und Microsoft selbst führen.

Microsoft: Was an der neuen Sicherheitslücke so besonders ist

Wie The Register berichtet, fällt eine der kürzlich geschlossenen Microsoft-Sicherheitslücken genau in diese Kategorie. Von den Programmierer:innen wurde die Lücke, die sich in ASP.NET Core befand, „HTTP request smuggling bug“ getauft. Laut Barry Dorrans, Security Program Manager bei Microsoft, handelte es sich dabei um einen Bug mit dem höchsten Gefahren-Score aller Zeiten. So erhielt die Sicherheitslücke 9,9 von zehn möglichen Punkten.

Durch den Bug war es möglich, eine schädliche Anfrage in einer normalen Anfrage an das System zu verstecken. Dabei war es sogar möglich, Authentifizierungen zu umgehen. Sobald die erste Anfrage keine zusätzlichen Sicherheitsmaßnahmen erforderte, wurde der Mechanismus bei der schädlichen Anfrage ebenfalls ausgesetzt. Laut Dorrans war es so möglich, andere User:innen einzuloggen oder weiteren schädlichen Code zu injizieren.

Dorrans betonte in einem Post auf GitHub, dass der Bug an sich in ASP.NET Core nie zu einem so hohen Gefahren-Rating geführt hätte. Allerdings werden solche Sicherheitslücken bei Microsoft nicht nur aufgrund der eigentlichen Anwendung bewertet, in der sie gefunden werden. Da ASP.NET Core ein Webframework ist, um Webseiten und Webanwendungen zu erstellen, muss die Gefahr auch für alle Inhalte bewertet werden, die sich mit dem Tool potenziell erstellen lassen.

Obwohl die Sicherheitslücke schon eine Weile im System geschlummert hat, soll es laut Microsoft keine bekannten Fälle geben, in denen sie ausgenutzt wurde. Entwickler:innen sollen jetzt das .NET-SDK auf die aktuelle Version aktualisieren, um die Lücke zu schließen. Das ist auch der Grund, warum Microsoft noch nicht genau verrät, wie die Lücke ausgenutzt werden kann. So soll verhindert werden, dass Hacker:innen noch Angriffe durchführen, bevor User:innen überhaupt ein Update aufspielen konnten.

