Neue Sicherheitslücke in Microsofts IIS aufgedeckt

Sicherheitslücken Microsofts Internet Information Services (IIS) verfügen über eine neu bekannt gewordene Sicherheitslücke, über die ein Angreifer Code in ein System einschleusen kann. Betroffen sind die Versionen 6 und niedriger. Der Sicherheits-Experte Soroush Dalili hat den Fehler nach eigenen Angaben bereits im April 2008 entdeckt. Jetzt legte er Details über das Problem offen. Demnach kann ausführbarer Code in einen Server eingeschleust werden, indem man ein anderes, angeblich sicheres Dateiformat vorgaukelt.

So ist es beispielsweise möglich, ASP-Code auf einen Server zu laden, obwohl dies in den Sicherheits-Einstellungen ausgeschlossen wird. Dafür muss der entsprechende Dateiname lediglich mit der Endung einer vermeintlich unproblematischen Datei - etwa eines JPEG-Bildes - versehen werden, die per Semikolon abgetrennt wird.

Der Dateiname müsste in diesem Fal also "file.asp;.jpg" lauten. Das in der Datei enthaltene ASP-Script wird dann vom Webserver ausgeführt und kann so weitergehende Manipulationen an einer Webanwendung ermöglichen. Ein Angreifer kann so beispielsweise Nutzerdaten vom Server entwenden oder auch Schadcodes in die Webseiten integrieren.

Das Risiko ist nach Angaben Microsofts aber gering. Der Webserver müsse schon entsprechend unsicher konfiguriert sein, indem Scripten von Außen überhaupt Schreibrechte gewährt werden. Wann mit einem Patch, der das Problem behebt, gerechnet werden kann, wurde noch nicht angegeben.
Diese Nachricht empfehlen
Kommentieren11
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 06:35 Uhr Windows 10 Hello Kamera - CSL Hello DX1 WebCam, IR-Tiefenkamera, USB 2.0, HD-WebCam, Gesichtserkennung
Windows 10 Hello Kamera - CSL Hello DX1 WebCam, IR-Tiefenkamera, USB 2.0, HD-WebCam, Gesichtserkennung
Original Amazon-Preis
79,90
Im Preisvergleich ab
79,90
Blitzangebot-Preis
67,91
Ersparnis zu Amazon 15% oder 11,99

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Tipp einsenden