Javítatlan hiba a Microsoft szoftverében

A Microsoft Internet Information Services (IIS) bizonyult ezúttal hibásnak. Redmond beismerte, hogy már vizsgálja azokat a bejelentéseket, melyek szerint az IIS-ben sérülékenység található. Az első tapasztalatok szerint a sebezhető rendszereken engedély nélkül megváltoztatható a jogosultság, így a támadónak olyan tevékenységek kifejtésére is lehetősége nyílik, melyet egy alacsony jogosultságokkal rendelkező felhasználó alapesetben nem tehetne meg.

Az IIS WebDAV kiterjesztésében lapul a biztonsági rés; a HTTP kérelmek kezelése problémás, olvasható a Microsoft közleményében. Egy speciális feltételeknek megfelelő, anonim HTTP kérelem elküldésével szerezhet a támadó hozzáférést olyan helyekhez, melyek jellemzően azonosítást követelnek meg.

Egyelőre nem kapott arról tájékoztatást a szoftverfejlesztő vállalat, hogy az Interneten kihasználnák a sérülékenységet; vagyis jelenleg még nem nagy a kockázata annak, hogy egy egyébként védett rendszer áldozatul esik a fent ismertetett sebezhetőségnek. Igaz, nincs is még rá javítás. Ugyanakkor a Microsoft közlése szerint nem kizárt, hogy a következő, júniusban esedékes javítások kiadásával együtt ennek a hibának is jut foltozás.

És hogy mit lehet tenni addig is, csökkentendő egy esetleges sikeres támadás kockázatát? A redmondi vállalat website-ján közzétette tanácsait, amivel minimalizálható annak esélye, hogy egy ISS-t futtató szerver áldozatul eshet a csyberbűnözőknek.