Abo
  • Services:

Sicherheitsloch in Microsofts Internet Information Services

Microsoft stuft Gefahr als gering ein

Über die Weihnachtsfeiertage wurde ein Sicherheitsloch in Microsofts Internet Information Services (IIS) bekannt. Angreifer können darüber Schadcode ausführen. Über die Gefährlichkeit der Sicherheitslücke gibt es widersprüchliche Angaben.

Artikel veröffentlicht am ,

In Microsofts Internet Information Services (IIS) Version 6.x sowie älteren IIS-Systemen wurde ein Sicherheitsloch gefunden. Entdeckt wurde der Fehler von Soroush Dalili nach eigenen Angaben bereits im April 2008. Warum er den Fehler ausgerechnet über die Weihnachtsfeiertage 2009 öffentlich machte, ist nicht bekannt. Über das Sicherheitsloch können Unbefugte Schadcode auf einem Windows-Server ausführen. Das Einschleusen etwa von ASP-Code ist möglich, indem an eine ASP-Datei eine mit einem Semikolon versehene Dateiendung angehängt wird.

Stellenmarkt
  1. EOS GmbH Electro Optical Systems, Krailling
  2. über experteer GmbH, südliches Baden-Württemberg

Der Dateiname sähe also so aus: file.asp;.jpg. Damit lassen sich Server durcheinander bringen, die lediglich die Dateiendung berücksichtigen, um festzustellen, ob ein Code ausgeführt werden darf. Dalili stuft das Sicherheitsloch als gefährlich ein. Die Sicherheitsexperten von Secunia sehen allerdings nur eine geringe Gefährlichkeit.

Microsoft weist in einer Stellungnahme darauf hin, dass IIS nur dann für einen solchen Angriff anfällig ist, wenn das System anders konfiguriert und bewusst unsicher eingestellt wurde. Nach Ansicht von Microsoft muss ein Angreifer Zugriff auf das System, sowie Schreibzugriff auf die Web-Server-Verzeichnisse haben. Microsoft machte noch keine Angaben, wann mit einem Patch zu rechnen ist.



Anzeige
Blu-ray-Angebote
  1. 4,99€
  2. 6,66€

Foobarit 28. Dez 2009

Pls don't feed the troll ;).

hinkelsteiniger 28. Dez 2009

...ja vergleichen wir... davon 11% ungepatched davon 12% ungepached ...jetzt vergleichen...

aze 28. Dez 2009

Und wieviele Sicherheitslücken wurden bisher beim IIS verschwiegen???? Man sollte nicht...

Siga0974047 28. Dez 2009

Semikolon ist eigentlich VMS. Dort gabs dann die alten Versionen einer Datei automatisch...


Folgen Sie uns
       


Sony Xperia XZ2 Compact - Test

Sony hat wieder ein Oberklasse-Smartphone geschrumpft: Das Xperia XZ2 Compact hat leistungsfähige Hardware, eine bessere Kamera und passt bequem in eine Hosentasche.

Sony Xperia XZ2 Compact - Test Video aufrufen
Google I/O 2018: Eine Entwicklerkonferenz für Entwickler
Google I/O 2018
Eine Entwicklerkonferenz für Entwickler

Google I/O 2018 Die Google I/O präsentiert sich erneut als Messe für Entwickler und weniger für konventionelle Nutzer. Die Änderungen bei Maps, Google Lens oder News sind zwar nett, spannend wird es aber mit Linux-Apps auf Chromebooks.
Eine Analyse von Tobias Költzsch, Ingo Pakalski und Sebastian Grüner

  1. Google Android P trennt stärker zwischen Privat und Arbeit
  2. Smartwatch Zweite Vorschau von Wear OS bringt neuen Akkusparmodus
  3. Augmented Reality Google unterstützt mit ARCore künftig auch iOS

SpaceX: Rundum verbesserte Falcon 9 fliegt zum ersten Mal
SpaceX
Rundum verbesserte Falcon 9 fliegt zum ersten Mal

Landen, Auftanken und 24 Stunden später wieder starten. Das will SpaceX mit der neusten und endgültigen Version der Falcon-9-Rakete erreichen. In der letzten Nacht hat sie erfolgreich einen Satelliten für Bangladesch in den Orbit gebracht.
Von Frank Wunderlich-Pfeiffer


    Wonder Workshop Cue im Test: Der Spielzeugroboter kommt ins Flegelalter
    Wonder Workshop Cue im Test
    Der Spielzeugroboter kommt ins Flegelalter

    Bislang herrschte vor allem ein Niedlichkeitswettbewerb zwischen populären Spiel- und Lernrobotern für Kinder, jetzt durchbricht ein Roboter für jüngere Teenager das Schema nicht nur optisch: Cue fällt auch durch ein eher loseres Mundwerk auf.
    Ein Test von Alexander Merz


        •  /