NTs webtjener IIS som en åpen dør

Sikkerhetsselskapet eEye fant en alvorlig brist i Microsofts Internet Information Server som betjener 1,4 millioner nettsteder. Da Microsoft drøyet med å svare, la eEye lusa ut på nettet.

På eEyes nettsted kan du laste ned både en midlertidig fiks og en programsnutt som lar deg angripe IIS-nettsteder uten denne fiksen. IIS-bristen gjør det mulig for uvedkommende å avlytte, endre eller avvise transaksjoner over web, inklusiv utvekslinger av passord. Med eEyes programsnutt kan slikt gjøres uten avanserte programmeringskunnskaper.

eEyes framgangsmåte fordømmes intenst av Microsoft som mener det er grovt uansvarlig å hjelpe kriminelle på den måten. eEye forsvarer seg med at Microsoft ikke svarte på deres advarsler, og ikke laget noen fiks. Microsoft skylder på sjukdom i staben.

Flere mener Microsoft skulle straks advart kunder om feilen i IIS 4.0. eEye kontaktet Microsoft om bristen 8. juni. Microsofts sikkerhetsside (microsoft.com/security) ble først oppdatert 15. juni, og er nå utstyrt med en fiks for det selskapet kaller sårbarhet grunnet "malformed HTR request".

– Fremmede makter angriper oss daglig

Hør professor Olav Lysne og direktør Bjørn Erik Thon i Datatilsynet diskutere personvern, rikets sikkerhet og det digitale grenseforsvaret i vår nye podkast «Dobbeltklikk».

Til toppen