Gefährliche Sicherheitslücke in Microsofts IIS

Die Firma eEye hat eine gefährliche Sicherheitslücke in Microsofts Internet Information Server (IIS) entdeckt, die es Angreifern erlaubt, beliebigen Code auf der betroffenen Maschine auszuführen. Das eEye-Sicherheitsteam behauptet, daß 90 Prozent aller IIS-Installationen im Internet verwundbar seien. Microsoft hat die Existenz des Bugs bestätigt und stellt einen Patch bereit.

Das Problem tritt beim Umgang mit speziellen Dateien auf (.HTR, .STM und .IDC). Angreifer können durch spezielle Anfragen einen internen Puffer zum Überlaufen bringen und damit eigenen Code ausführen lassen. Es gibt im Internet bereits mehrere Programme, mit denen sich dieser Fehler ausnutzen läßt. (ju)