Neue Sicherheitslücke in Microsofts IIS aufgedeckt

Sicherheitslücken Microsofts Internet Information Services (IIS) verfügen über eine neu bekannt gewordene Sicherheitslücke, über die ein Angreifer Code in ein System einschleusen kann. Betroffen sind die Versionen 6 und niedriger. Der Sicherheits-Experte Soroush Dalili hat den Fehler nach eigenen Angaben bereits im April 2008 entdeckt. Jetzt legte er Details über das Problem offen. Demnach kann ausführbarer Code in einen Server eingeschleust werden, indem man ein anderes, angeblich sicheres Dateiformat vorgaukelt.

So ist es beispielsweise möglich, ASP-Code auf einen Server zu laden, obwohl dies in den Sicherheits-Einstellungen ausgeschlossen wird. Dafür muss der entsprechende Dateiname lediglich mit der Endung einer vermeintlich unproblematischen Datei - etwa eines JPEG-Bildes - versehen werden, die per Semikolon abgetrennt wird.

Der Dateiname müsste in diesem Fal also "file.asp;.jpg" lauten. Das in der Datei enthaltene ASP-Script wird dann vom Webserver ausgeführt und kann so weitergehende Manipulationen an einer Webanwendung ermöglichen. Ein Angreifer kann so beispielsweise Nutzerdaten vom Server entwenden oder auch Schadcodes in die Webseiten integrieren.

Das Risiko ist nach Angaben Microsofts aber gering. Der Webserver müsse schon entsprechend unsicher konfiguriert sein, indem Scripten von Außen überhaupt Schreibrechte gewährt werden. Wann mit einem Patch, der das Problem behebt, gerechnet werden kann, wurde noch nicht angegeben.
Diese Nachricht empfehlen
Kommentieren11
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 13:25 Uhr Ulefone u008 pro - 4G Smartphone Handy ohne Vertrag (5.0'' Zoll, Android 6.0, MT6737 Quad-core 1.3 GHz, 2GB RAM 16GB ROM, 8MP Kamera, 3500mAh, Dual SIM Dual Standby, Fingerprintsensor)Ulefone u008 pro - 4G Smartphone Handy ohne Vertrag (5.0'' Zoll, Android 6.0, MT6737 Quad-core 1.3 GHz, 2GB RAM 16GB ROM, 8MP Kamera, 3500mAh, Dual SIM Dual Standby, Fingerprintsensor)
Original Amazon-Preis
89,99
Im Preisvergleich ab
?
Blitzangebot-Preis
76,48
Ersparnis zu Amazon 15% oder 13,51
Nur bei Amazon erhältlich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Tipp einsenden