Microsoft está advirtiendo a los administradores de sistemas sobre la aparición de una vulnerabiliad en Windows Internet Information Server (ISS), un componente utilizado principalmente por sistemas Windows Server para proporcionar servicios de hosting.
- El componente en concreto está también incluido en Windows XP Professional además de en las ediciones Enterprise, Business y Ultimate de Windows Vista.
- Según Microsoft la vulnerabilidad podría permitir a un atacante obtener privilegios elevados en un servidor que permitiría al hacker no sólo acceder sino también editar los datos contenidos en el servidor. El fallo afecta a las versiones 4,5 y 6 de IIS.
- La nueva versión, IIS 7.0 no es vulnerable.
- La compañía ha dicho que la vulnerabiliad está expuesta cuando un atacante envía una petición de archivo HTTP especialmente elaborado a un servidor.
- Una vez explotado, el atacante podría superar los requerimientos de autenticación y acceder al sistema con una cuenta anónima.
- Se espera que la solución a esta vulnerabilidad llegue el próximo 9 de junio, coincidiendo con los boletines de seguridad que la compañía publica los segundos martes de cada mes.
Fuente: http://www.microsoft.com/technet/security/advisory/971492.mspx