Microsoft Security Response Center (MSRC) opublikował wyniki analizy zgłoszeń dotyczących odkrycia nowej luki Zero Day w produkcie serwerowym IIS. Gigant z Redmond wyraził opinię, że domniemana usterka bezpieczeństwa jest jedynie niekonsekwencją w sposobie przetwarzania nazw zawierających znak średnika.
Zdaniem Microsoftu, luka średnikowa, która wg doniesień pozwala na obejście mechanizmów filtrowania plików wprowadzanych do aplikacji webowych przez jej użytkowników, nie jest usterką bezpieczeństwa i nie stanowi żadnego zagrożenia:
We’ve completed our investigation into the claims that came up over the holiday of a possible vulnerability in IIS and found that there is no vulnerability in IIS.
Microsoft argumentuje swe zdanie tym, że udany atak wymaga praw zapisu oraz wykonania w katalogu składowania plików pobranych od użytkowników, natomiast tego rodzaju konfiguracja nie występuje przy domyślnych ustawieniach serwera oraz jest wbrew zaleceniom publikowanym przez giganta.
Tymczasem Secunia potwierdziła istnienie błędu w systemie Windows Server 2003 R2 SP2 (IIS 6), natomiast organizacje SANS oraz SecurityFocus opublikowały poradniki pozwalające na zabezpieczenie się przed udanym atakiem. Pod następującym adresem można się również zapoznać z przykładem praktycznego testu penetracyjnego wykorzystującego najnowszą  lukę w Microsoft IIS.
Wiadomość pochodzi z portalu OSnews.pl
Popularity: 1%
Sprawdź Także Następujące Wpisy:
- Internet Explorer spada na 3. miejsce
- ReactOS 0.3.14 wydany
- Liderzy protestów przeciw ACTA bojkotują debatę u Premiera
- Internet – urząd czy targowisko – debata na temat wolności w Sieci
- Strony rzÄ…dowe przygotowujÄ… siÄ™ do obrony przed atakami
