Microsoft informuje o nowej luce
Problem dotyczy usług IIS w wersjach 5.0, 5.1 oraz 6.0 (ale już nie w najnowszej wersji 7.0). Lukę wykryto w sposobie obsługi żądań HTTP przez rozszerzenie WebDAV. Potencjalny agresor wykorzystując lukę może spowodować zdalne uruchomienie dowolnego – także złośliwego – kodu.
Niemniej Microsoft poinformował, że mimo wykrycia luki nie stwierdzono ani jednego przypadku jej efektywnego wykorzystania. Usługi IIS można opcjonalnie zainstalować w każdym systemie Windows, jednak domyślnie nie są one instalowane i uruchamiane, zatem odsetek zagrożonych komputerów nie jest duży.
Microsoft już pracuje nad poprawką, która będzie najprawdopodobniej umieszczona w najbliższym pakiecie aktualizacyjnym udostępnianym na automatycznym kanale Windows Update, a tymczasem oferuje kilka rozwiązań, które pozwalają ominąć problem, uniemożliwiając wykorzystanie luk bez pozbywania się funkcjonalności IIS.
Źródło: TechConnect
