Microsoft: Keine Lücke in IIS

Angreifer können die Sicherheitslücke in den Microsoft Internet Information Services dazu ausnutzen, auf einen Webserver zuzugreifen und schädlichen ASP-Code einzuschleusen und auszuführen. ZDnet Asien zufolge hält Microsoft das Problem allerdings nicht für eine Sicherheitslücke. In einem Blog zum Thema sagt das Unternehmen, IIS gehe zwar in verschiedenen Versionen inkonsistent mit Strichpunkten um - das war das Kernproblem der beschriebenen Schwachstelle -, aber der Fehler trete nur auf, wenn der Webserver so konfiguriert sei, dass in einem Verzeichnis Lese- und Ausführrechte gelten. Diese Konfiguration sei falsch und in IIS ab Werk auch nicht so voreingestellt. Sie widerspreche zudem allen Anleitungen und Nutzungsvorgaben, die Microsoft seinen Kunden zur Verfügung stelle. Das IIS-Team arbeite aber daran, den Umgang mit Strichpunkten in IIS 6 dem Verhalten der anderen IIS-Versionen anzupassen.