Neue Sicherheitslücke in Microsofts IIS aufgedeckt

Sicherheitslücken Microsofts Internet Information Services (IIS) verfügen über eine neu bekannt gewordene Sicherheitslücke, über die ein Angreifer Code in ein System einschleusen kann. Betroffen sind die Versionen 6 und niedriger. Der Sicherheits-Experte Soroush Dalili hat den Fehler nach eigenen Angaben bereits im April 2008 entdeckt. Jetzt legte er Details über das Problem offen. Demnach kann ausführbarer Code in einen Server eingeschleust werden, indem man ein anderes, angeblich sicheres Dateiformat vorgaukelt.

So ist es beispielsweise möglich, ASP-Code auf einen Server zu laden, obwohl dies in den Sicherheits-Einstellungen ausgeschlossen wird. Dafür muss der entsprechende Dateiname lediglich mit der Endung einer vermeintlich unproblematischen Datei - etwa eines JPEG-Bildes - versehen werden, die per Semikolon abgetrennt wird.

Der Dateiname müsste in diesem Fal also "file.asp;.jpg" lauten. Das in der Datei enthaltene ASP-Script wird dann vom Webserver ausgeführt und kann so weitergehende Manipulationen an einer Webanwendung ermöglichen. Ein Angreifer kann so beispielsweise Nutzerdaten vom Server entwenden oder auch Schadcodes in die Webseiten integrieren.

Das Risiko ist nach Angaben Microsofts aber gering. Der Webserver müsse schon entsprechend unsicher konfiguriert sein, indem Scripten von Außen überhaupt Schreibrechte gewährt werden. Wann mit einem Patch, der das Problem behebt, gerechnet werden kann, wurde noch nicht angegeben.
Diese Nachricht empfehlen
Kommentieren11
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr F-Secure Internet Security - 1 Jahr / 1 Computer
F-Secure Internet Security - 1 Jahr / 1 Computer
Original Amazon-Preis
22,99
Im Preisvergleich ab
22,99
Blitzangebot-Preis
18,48
Ersparnis zu Amazon 20% oder 4,51

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Tipp einsenden