Sicherheitsloch in Microsofts Internet Information Services

Microsoft stuft Gefahr als gering ein

Über die Weihnachtsfeiertage wurde ein Sicherheitsloch in Microsofts Internet Information Services (IIS) bekannt. Angreifer können darüber Schadcode ausführen. Über die Gefährlichkeit der Sicherheitslücke gibt es widersprüchliche Angaben.

Artikel veröffentlicht am ,

In Microsofts Internet Information Services (IIS) Version 6.x sowie älteren IIS-Systemen wurde ein Sicherheitsloch gefunden. Entdeckt wurde der Fehler von Soroush Dalili nach eigenen Angaben bereits im April 2008. Warum er den Fehler ausgerechnet über die Weihnachtsfeiertage 2009 öffentlich machte, ist nicht bekannt. Über das Sicherheitsloch können Unbefugte Schadcode auf einem Windows-Server ausführen. Das Einschleusen etwa von ASP-Code ist möglich, indem an eine ASP-Datei eine mit einem Semikolon versehene Dateiendung angehängt wird.

Stellenmarkt
  1. Kundenberater für technischen Support im After Sales Service / Customer Care Agent (m/w/d)
    HEGLA GmbH & Co. KG Wartung und Service, Lauenförde (zwischen Göttingen, Kassel und Paderborn)
  2. System Analyst / Requirements Engineer (m/w/d)
    byteAgenten gmbh, Nürnberg
Detailsuche

Der Dateiname sähe also so aus: file.asp;.jpg. Damit lassen sich Server durcheinander bringen, die lediglich die Dateiendung berücksichtigen, um festzustellen, ob ein Code ausgeführt werden darf. Dalili stuft das Sicherheitsloch als gefährlich ein. Die Sicherheitsexperten von Secunia sehen allerdings nur eine geringe Gefährlichkeit.

Microsoft weist in einer Stellungnahme darauf hin, dass IIS nur dann für einen solchen Angriff anfällig ist, wenn das System anders konfiguriert und bewusst unsicher eingestellt wurde. Nach Ansicht von Microsoft muss ein Angreifer Zugriff auf das System, sowie Schreibzugriff auf die Web-Server-Verzeichnisse haben. Microsoft machte noch keine Angaben, wann mit einem Patch zu rechnen ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Foobarit 28. Dez 2009

Pls don't feed the troll ;).

hinkelsteiniger 28. Dez 2009

...ja vergleichen wir... davon 11% ungepatched davon 12% ungepached ...jetzt vergleichen...

aze 28. Dez 2009

Und wieviele Sicherheitslücken wurden bisher beim IIS verschwiegen???? Man sollte nicht...

Siga0974047 28. Dez 2009

Semikolon ist eigentlich VMS. Dort gabs dann die alten Versionen einer Datei automatisch...



Aktuell auf der Startseite von Golem.de
LG OLED42C27LA im Test
Ein OLED-Fernseher als riesiger Bildschirmersatz

Der 42 Zoll große LG OLED C2 passt doch perfekt auf den Tisch. Er gibt einen tollen Monitor für Games und Office ab, trotz TV-Herkunft.
Ein Test von Oliver Nickel

LG OLED42C27LA im Test: Ein OLED-Fernseher als riesiger Bildschirmersatz
Artikel
  1. Maschinelles Lernen und Autounfälle: Es muss nicht immer Deep Learning sein
    Maschinelles Lernen und Autounfälle
    Es muss nicht immer Deep Learning sein

    Nicht nur das autonome Fahren, sondern auch die Fahrzeugsicherheit könnte von KI profitieren - nur ist Deep Learning nicht unbedingt der richtige Ansatz dafür.
    Von Andreas Meier

  2. Teslas auf Behörden- und Firmengelände: Wächtermodus steht unter Beobachtung
    Teslas auf Behörden- und Firmengelände
    Wächtermodus steht unter Beobachtung

    Die Berliner Polizei wollte Teslas den Zugang zu ihren Liegenschaften verwehren. Wie machen es andere Behörden oder auch Unternehmen? Wir haben nachgefragt.
    Eine Recherche von Werner Pluta

  3. Bitblaze Titan samt Baikal-M: Russischer Laptop mit russischem Chip ist fast fertig
    Bitblaze Titan samt Baikal-M
    Russischer Laptop mit russischem Chip ist fast fertig

    Ein 15-Zöller mit ARM-Prozessor: Der Bitblaze Titan soll sich für Office und Youtube eignen, die Akkulaufzeit aber ist fast schon miserabel.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Palit RTX 3080 Ti 1.099€, Samsung SSD 2TB m. Kühlkörper (PS5) 219,99€, Samsung Neo QLED TV (2022) 50" 1.139€, AVM Fritz-Box • Asus: Bis 840€ Cashback • MindStar (MSI RTX 3090 Ti 1.299€, AMD Ryzen 7 5800X 288€) • Microsoft Controller (Xbox&PC) 48,99€ [Werbung]
    •  /