BEDRIFTSTEKNOLOGI

NTs webtjener IIS som en åpen dør

Sikkerhetsselskapet eEye fant en alvorlig brist i Microsofts Internet Information Server som betjener 1,4 millioner nettsteder. Da Microsoft drøyet med å svare, la eEye lusa ut på nettet.

Eirik Rossen
19. juni 1999 - 15:39

På eEyes nettsted kan du laste ned både en midlertidig fiks og en programsnutt som lar deg angripe IIS-nettsteder uten denne fiksen. IIS-bristen gjør det mulig for uvedkommende å avlytte, endre eller avvise transaksjoner over web, inklusiv utvekslinger av passord. Med eEyes programsnutt kan slikt gjøres uten avanserte programmeringskunnskaper.

eEyes framgangsmåte fordømmes intenst av Microsoft som mener det er grovt uansvarlig å hjelpe kriminelle på den måten. eEye forsvarer seg med at Microsoft ikke svarte på deres advarsler, og ikke laget noen fiks. Microsoft skylder på sjukdom i staben.

Flere mener Microsoft skulle straks advart kunder om feilen i IIS 4.0. eEye kontaktet Microsoft om bristen 8. juni. Microsofts sikkerhetsside (microsoft.com/security) ble først oppdatert 15. juni, og er nå utstyrt med en fiks for det selskapet kaller sårbarhet grunnet "malformed HTR request".

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.