Neue Sicherheitslücke im Microsoft-Webserver IIS

Microsoft warnt in seinem aktuellen Security Bulletin vor einer neuen, gravierenden Sicherheitslücke in seinem Webserver IIS 5.0. Die Sicherheitslücke erlaubt es, über Angabe einer entsprechend formulierten URL beliebige Programme mit beliebigen Parametern auf dem Server zu starten. Darüber wäre es beispielsweise möglich, Webseiten zu verändern, Dateien zu löschen oder die Festplatte zu formatieren – Microsoft spricht selbst von einer "ernsthaften Verwundbarkeit". Frühere Versionen des IIS sind nicht betroffen.

Von ihren Auswirkungen her ähnelt das neue Sicherheitsloch einer im vergangenen Monat bekannt geworden Sicherheitslücke bei der Unicode-Darstellung von Pfadangaben. Laut Microsoft stehen die beiden Probleme jedoch in keinerlei Zusammenhang. Betreiber von Webservern, die den IIS 5.0 einsetzen, sollten umgehend den von Microsoft bereit gestellten Patch für die deutsche beziehungsweise englische Version des IIS einspielen. (odi)