The Great Gildersleeve: Iron Reindeer / Christmas Gift for McGee / Leroy's Big Dog
Sicherheitsanbieter warnen Nutzer von Microsofts Web-Server-Software Internet Information Services 6 davor, dass ein neuer Online-Angriff ihre Daten gefährden könnte.
Der Fehler wurde am Donnerstag veröffentlicht, als der Sicherheitsforscher Nikolaos Rangos Einzelheiten des Anfälligkeit für die Mailingliste Full Disclosure Security. Durch Senden einer speziell gestalteten HTTP-Anforderung an den Server konnte er Dateien auf dem Computer anzeigen und hochladen. Der Angriff nutzt einen Fehler in der Art und Weise, wie Microsofts Software Unicode-Token verarbeitet, sagte er.
Die Sicherheitslücke wird bei Online-Angriffen genutzt, teilte das US-amerikanische Computer Emergency Response Team am Montag mit.
[Weitere Informationen: Wie? entfernen Sie Malware von Ihrem Windows-PC]In einer Erklärung sagte Microsoft, dass es von solchen Angriffen nichts gehört habe, aber dass es die Ansprüche von Rangos untersucht. "Wir arbeiten an einer Sicherheitsempfehlung, um den Kunden eine Anleitung zu geben", sagte das Unternehmen am Montag.
Der Fehler betrifft IIS 6-Benutzer, die die WebDAV-Protokolle (Web-based Distributed Authoring and Versioning) zum Teilen von Dokumenten aktiviert haben Das Web.
Es gibt Angreifern eine Möglichkeit, geschützte Dateien ohne Autorisierung auf dem Server anzuzeigen und es könnte auch zum Hochladen von Dateien verwendet werden, so Thierry Zoller, ein unabhängiger Sicherheitsforscher, der die Ergebnisse von Rangos bestätigte. Zoller sagte jedoch, er habe keine Möglichkeit gefunden, diesen Fehler zu verwenden, um nicht autorisierte Software auf einem IIS-Server auszuführen.
Zoller sagte, dass IIS 5 und IIS 7 nicht anfällig für den Angriff sind, aber andere Microsoft beeinträchtigen könnten Produkte, die die WebDAV-Technologie verwenden. "Sicher ist besser als Nachsicht", sagte er per Sofortnachricht, "Deaktivieren Sie WebDAV vorübergehend und warten Sie, bis Microsoft einen Patch installiert hat."
In einem E-Mail-Interview sagte Rangos, dass auch bei aktiviertem WebDAV Exchange Server unter IIS 6 und SharePoint Server war von dem Fehler nicht betroffen.
Cisco hat eine ähnliche Warnung ausgegeben. "Administratoren von Websites, die vertrauliche Informationen auf IIS-Servern hosten, die WebDAV verwenden, sollten umgehend wirksame Schutzmaßnahmen einleiten, da der Exploit-Code öffentlich verfügbar ist", so das Unternehmen in einer Sicherheitswarnung auf seiner Website.
Kann Facebook Sie zum Flunken bringen? Nicht wahrscheinlich
Studie legt nahe, dass Facebook-Nutzer niedrigere Noten bekommen, aber seine Ergebnisse können zweifelhaft sein.
Driver Reviver kann Treiber zum Laufen bringen - aber ist es die beste Lösung?
Suchen und aktualisieren Sie alte Software und Treiber auf Ihrem PC mit Driver Reviver - aber nehmen Sie ihre Empfehlungen mit einem Hauch von Salz.
Dieser Link kann den Chrome-Browser zum Absturz bringen. Warum?
Der Google Chrome-Browser stürzt ab, wenn wir versuchen, in der URL-Zeichenfolge auf einen 16-stelligen Link mit einem NULL-Zeichen zu klicken. Hier ist der Grund, warum es so ist.