20 de mayo de 2009

Nueva vulnerabilidad en el (IIS) de Windows.

Microsoft está advirtiendo a los administradores de sistemas sobre la aparición de una vulnerabiliad en Windows Internet Information Server (ISS), un componente utilizado principalmente por sistemas Windows Server para proporcionar servicios de hosting.

  • El componente en concreto está también incluido en Windows XP Professional además de en las ediciones Enterprise, Business y Ultimate de Windows Vista.
  • Según Microsoft la vulnerabilidad podría permitir a un atacante obtener privilegios elevados en un servidor que permitiría al hacker no sólo acceder sino también editar los datos contenidos en el servidor. El fallo afecta a las versiones 4,5 y 6 de IIS.
  • La nueva versión, IIS 7.0 no es vulnerable.
  • La compañía ha dicho que la vulnerabiliad está expuesta cuando un atacante envía una petición de archivo HTTP especialmente elaborado a un servidor.
  • Una vez explotado, el atacante podría superar los requerimientos de autenticación y acceder al sistema con una cuenta anónima.
  • Se espera que la solución a esta vulnerabilidad llegue el próximo 9 de junio, coincidiendo con los boletines de seguridad que la compañía publica los segundos martes de cada mes.

    Fuente: http://www.microsoft.com/technet/security/advisory/971492.mspx