News-Meldung vom 06.06.2007 14:45
Ein Knowledge-Base-Artikel von Microsoft zu einer Schwachstelle im Internet Information Server (IIS) 5.0 sorgte unter Sicherheitsspezialisten für Unmut, da Microsoft darin eine Anleitung veröffentlichte, wie man das Problem reproduzieren kann – also quasi eine Anleitung, wie man die Lücke ausnutzt. Normalerweise sind weitergehende Informationen zu Schwachstellen durchaus wünschenswert, um das Risiko besser einschätzen zu können und etwa Sicherungsmaßnahmen testen zu können.
Im vorliegenden Fall hat Microsoft seine häufige Forderung nach "Responsible Disclosure" aufgegeben und die Informationen herausgegeben, ohne dass es einen Patch oder einen Workaround gibt. Statt dessen empfehlen die Redmonder ein Update auf IIS 6.0, um das Problem zu beseitigen. Allerdings ist damit ein Upgrade auf Windows Server 2003 verbunden, was auch einen gewissen finanziellen Aufwand fordert, den viele Anwender sicher nicht bereit sind zu erbringen. Microsoft hat die aus sechs Punkten bestehende Anleitung mittlerweile aus dem Artikel entfernt, im Google-Cache ist die Original-Fassung allerdings noch zu finden.
Die von Microsoft beschriebene Lücke im "Hit-highlighting"-Feature erlaubt es, bestimmte Zugriffsrestriktionen auf Inhalte zu umgehen und so an geschützte Informationen zu gelangen oder Dateien herunterzuladen. Das Löschen der Verknüpfung mit .htw-Dateien soll verhindern, dass Angreifer die Lücke ausnutzen können. Alternativ lässt sich auch über den Filter URLScan der Zugriff auf .htw-Dateien reglementieren.
Siehe dazu auch:
(dab)
English Version: Microsoft publishes guide to hacking IIS 5.0
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-136490
Themen-Forum Politik und Gesellschaft
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Wer veraltete Programmversionen von Firefox, Thunderbird und SeaMonkey nutzt, kann sein System leicht mit Schadcode infizieren. 
