Kritisk sikkerhetsfiks til Microsofts webtjener

Microsoft slår på stortromma for en ny fiks til webtjeneren IIS. Fiksen tetter ti nyoppdagede hull, hvorav fire kritiske.

Ingen av sårbarhetene ble oppdaget ved den store koderevisjonen i februar. To av dem ble imidlertid avslørt etter internt oppfølgingsarbeid. Andre ble oppdaget av eksterne, blant andre av eEye - Digital Security Team. Sårbarhetene er beskrevet i Microsoft Security Bulletin MS02-018.

Fire av fiksene betegnes som kritiske. Flere tetter såkalte bufferoversvømelser, der manglende validering av inndata gjør det mulig for snoker å lure gjennom aktiv kode og få det til å kjøre på offerets maskin. I verste fall betyr det at uvedkommende kan overta full kontroll over en server og sabotere den på ulik vis, etterlate bakdører til bruk under tjenestenektangrep og så videre.

Ifølge SecurityFocus er det tilfeller der fiksene har brutt autentiseringsrutinene i SiteServer. Dette har vært kurert av en tilleggsfiks fra Microsoft.

Brukere av klient-systemet Windows XP oppfordres også innstendig til å installere fiksen, siden de også har en IIS-variant på sin maskin.

Observatører mener Microsofts håndtering av denne fiksen utgjør et stort framskritt, og tyder på at den nye satsingen på sikkerhet er alvorlig ment. Blant annet ble 300.000 registrerte abonnenter straks informert om forholdet, og flere store kunder ble kontaktet direkte og personlig.

Fiksen vil integreres i kommende Service Pack for både Windows XP og Windows 2000.

Til toppen