Sicherheitslücke in IIS-Frontpage

Microsoft warnt im Security Bulletin MS02-053 vor einem Sicherheitsproblem in den Frontpage Server Extensions (FSPE) für den den Internet Information Server (IIS) und stellt einen Patch bereit. Bei den Frontpage Server Extensions 2000 führt ein spezieller Request dazu, dass der Dienst die CPU völlig auslastet, bei FPSE 2002 kommt es zu einem Buffer Overflow, über den der Angreifer beliebigen Code auf dem Server ausführen könnte.

Microsoft stuft das Problem als kritisch ein -- vor allem weil sowohl Windows 2000 als auch XP die Frontpage Server Extensions enthält und bei der Installation des IIS automatisch aktiviert. Adminstratoren sollten deshalb die im Bulletin aufgeführten Patches einspielen oder gleich den Server IIS-Lockdown-Tool als statischen Server einrichten.

Die "technische Beschreibung" des Fehlers bleibt sehr vague und gibt lediglich an, dass ein "spezieller Request mit speziellen Parametern" ein Problem im SmartHMTL-Interpreter (shtml.dll) auslösen könne. Auf Bugtraq wurde allerdings bereits am 4.Juli auf ein ähnlich klingendes Problem hingewiesen, das bei einem GET-Request auf "http://target/_vti_bin/shtml.dll" auftritt. (ju)