Kritische Sicherheitslücke in Microsofts IIS

Eine neu entdeckte und von Microsoft als ‚kritisch‘ eingestufte Sicherheitslücke im Internet Information Server (IIS) 5.0 ermöglicht es Angreifern, beliebigen Code auf dem Betroffenen System auszuführen und somit die Kontrolle zu übernehmen. Ein Patch zur Behebung des Problems steht zum Download bereit.

Wieder einmal lautet die Ursache des Sicherheitslecks „Buffer Overrun“ (Pufferüberlauf). Das Problem tritt auf, wenn in einem Programm für eine Funktion Dateneingaben einer bestimmten Größe erwartet werden, das Programm jedoch auch Dateneingaben mit ungültigen Größen ungeprüft verarbeitet. Angreifer können diesen Programmierfehler ausnutzen, um beliebigen ausführbaren Code in das System einzuschleusen.

Die Sicherheitslücke betrifft ausschließlich Windows-2000-Systeme mit installiertem IIS 5.0, in erster Linie also Windows 2000 Server, Advanced Server und Datacenter Server, die den Dienst standardmäßig mit installieren. Unter Windows 2000 Professional wird IIS per Default nicht eingerichtet.

Die Lücke befindet sich in einer Windows-Komponente, die vom WebDAV-Protokoll (World Wide Web Distributed Authoring and Versioning) genutzt wird. Sendet ein Angreifer einen speziell formatierten HTTP-Request an einen ungepatchten Rechner mit laufendem IIS 5.0, kann ein Angreifer schädlichen Code mit vollen Zugriffsrechten ausführen.

Microsoft rät dringend zur Installation des Patches zur Behebung des Problems:

Download Patch

Weitere Informationen (Englisch)