Neue Sicherheitslücke in MS-Produkt

Durch Hinweise aus Entwicklerkreisen wurde eine Sicherheitslücke in Microsofts Internet Information Server 3.0 bekannt: Eine einfache Modifikation der URL erlaubt das Laden von Quelltexten sogenannter Active Server Pages (ASP). Diese Seiten verknüpfen HTML mit Skriptsprachen, wodurch sich die Inhalte von WWW-Seiten durch Ausgaben aktiver Prozesse ergänzen lassen. Derselbe Effekt tritt bei den Skripteinbindungen "HTML Extension" (HTX) und "Internet Database Connector" (IDC) auf.

Neben der ungewollten Offenbarung von -- eventuell bezahlten -- Quelltexten können auch Datenbank-Passwörter und Benutzerkennungen nach außen dringen, die in den Skripten enthalten sind. Unter http://www.genusa.com/asp/patch/sechole.html ist ein Patch (Filter) erhältlich, das manipulierte URLs abfängt. (nl)