Sicherheitsloch in Microsofts IIS

Microsofts IIS 5.0 (Internet Information Server) weist ein Sicherheitsproblem auf, durch das Angreifer Zugang mit Administrator-Rechten auf den betroffenen Systemen erlangen können.

Das eigentliche Sicherheitsloch liegt nicht im IIS, sondern im Internet-Druckdienst (HTTP-Druckdienst) von Windows 2000, den IIS 5.0 aber standardmäßig verwendet. eEye Digital Security hatte die Sicherheitslücke vor zwei Wochen gefunden und umgehend Microsoft kontaktiert. Ein Angreifer kann mit speziell formatierten Strings einen Buffer Overflow erzeugen, der ihm Administrator-Rechte auf dem Webserver verschafft. Anwender von IIS 4.0 seien laut Microsoft nicht betroffen.

Bei Microsoft nimmt man das Problem nicht auf die leichte Schulter, die Redmonder bieten ein Security Advisory und einen Patch zum Download an. "Es ist eine ernste Verwundbarkeit", sagte Scott Culp, Security Product Manager bei Microsoft gegenüber CNET, "wir werden außergewöhnliche Schritte unternehmen. Wir wollen sicherstellen, dass die Anwender über die Sicherheitslücke Bescheid wissen und den Patch einspielen." So verzögert das Unternehmen die Auslieferung des "Service Pack 2" für Windows 2000, weil man den Patch für dieses Sicherheitsproblem unbedingt mit integrieren möchte. (pab)