Neue Sicherheitslücke in Microsofts IIS aufgedeckt

Sicherheitslücken Microsofts Internet Information Services (IIS) verfügen über eine neu bekannt gewordene Sicherheitslücke, über die ein Angreifer Code in ein System einschleusen kann. Betroffen sind die Versionen 6 und niedriger. Der Sicherheits-Experte Soroush Dalili hat den Fehler nach eigenen Angaben bereits im April 2008 entdeckt. Jetzt legte er Details über das Problem offen. Demnach kann ausführbarer Code in einen Server eingeschleust werden, indem man ein anderes, angeblich sicheres Dateiformat vorgaukelt.

So ist es beispielsweise möglich, ASP-Code auf einen Server zu laden, obwohl dies in den Sicherheits-Einstellungen ausgeschlossen wird. Dafür muss der entsprechende Dateiname lediglich mit der Endung einer vermeintlich unproblematischen Datei - etwa eines JPEG-Bildes - versehen werden, die per Semikolon abgetrennt wird.

Der Dateiname müsste in diesem Fal also "file.asp;.jpg" lauten. Das in der Datei enthaltene ASP-Script wird dann vom Webserver ausgeführt und kann so weitergehende Manipulationen an einer Webanwendung ermöglichen. Ein Angreifer kann so beispielsweise Nutzerdaten vom Server entwenden oder auch Schadcodes in die Webseiten integrieren.

Das Risiko ist nach Angaben Microsofts aber gering. Der Webserver müsse schon entsprechend unsicher konfiguriert sein, indem Scripten von Außen überhaupt Schreibrechte gewährt werden. Wann mit einem Patch, der das Problem behebt, gerechnet werden kann, wurde noch nicht angegeben.
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

Folgt uns auf Twitter

WinFuture bei Twitter

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!