Фирмы, работающие в области компьютерной безопасности, предупреждают
пользователей серверного ПО Microsoft Internet Information Services 6 о новой
сетевой атаке, которая может поставить под угрозу сохранность их данных.
Утечка вскрылась в прошлый четверг, когда исследователь Николаус Рангос
опубликовал подробности о
ней в рассылке Full Disclosure. Послав серверу особым образом составленный
HTTP-запрос, он получил возможность просматривать и загружать на него различные
файлы. Баг скрывается в способе обработки сервером IIS6 токенов, использующих
кодировку Unicode.
Организация US CERT в понедельник сообщила о наличии случаев онлайн-атак на
эту уязвимость. В Microsoft утверждают, что им о подобных атаках ничего
неизвестно, однако в компании заявили, что там проводят изучение обнаруженной
Рангосом проблемы и готовят для пользователей соответствующее руководство.
Баг актуален для тех пользователей IIS 6, у которых включены протоколы WebDAV,
служащие для обмена документами через Сеть.
Независимый исследователь Тьерри Золлер подтвердил правильность изысканий
Рангоса. Он сообщил, что эта дыра дает хакерам возможность просматривать и
загружать файлы без авторизации. При этом способа запустить на сервере IIS
неавторизованное ПО ему обнаружить не удалось. Золлер сообщил, что версии IIS 5
и IIS 7 данной уязвимости не подвержены, добавив при этом, что она может
сработать с другими приложениями Microsoft, использующими технологию WebDAV. В
качестве временной меры до выхода патча он посоветовал отключить WebDAV.
