Hull i Microsofts webserver

Flere sikkerhetsselskaper varsler om et sikkerhetshull i Microsofts Internet Information Services (IIS) 6. Sikkerhetsforskeren Nikolaos Rangos la allerede torsdag ut detaljert informasjon om hullet på nettet. En annen forsker, Thierry Zoller, har bekreftet hullet.

Hullet ligger i måten IIS-serveren behandler Unicode tokener. Det skal kunne utnyttes ved å sende en spesiell HTTP-forespørsel til serveren. Hullet skal ifølge U.S. Computer Emergency Response Team allerede blitt utnyttet av angripere.

Det er kun IIS 6, og ikke II 5 eller IIS 7, som skal være sårbar. Videre gjelder dette kun servere som har aktivert såkalte "Web-based Distributed Authoring and Versioning" (webdav)-protokoller som brukes til å dele dokumenter via webben.

Hullet gjør det mulig for angripere å lese beskyttede filer uten at de har tillatelse til dette, men ifølge Zoller, skal hullet ikke gjøre det mulig å kjøre potensielt skadelig programvare på serveren.

Zoller oppfordrer IIS 6-brukere til å deaktivere webdav inntil Microsoft legger ut en oppdatering.

Microsoft skal ha påstått at hullet ikke er blitt utnyttet, men programvaregiganten driver nå og undersøker påstander om det motsatte. Microsoft har fremdeles ikka lagt ut noe notat om saken, men planlegger å legge ut informasjon i løpet av kort tid.

(Kilde: Computerworld)

Kommentarer (15)

Norges beste mobilabonnement

Januar 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

ICE Mobil 1GB


Jeg bruker middels mye data:

Hello 5GB


Jeg bruker mye data:

Hello 10 GB


Jeg er superbruker:

Komplett MegaFlex 30GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen