IIS-Hintertür nur ein „Türchen“?

Microsoft (Börse Frankfurt: MSF) hat dementiert, dass die am Freitag bekannt gewordene Hintertür im Internet Information Server (IIS) die Relevanz hätte, die ihre Entdecker ihr beimessen. Zwar wiederspricht die Firma dem Bericht nicht, sagt aber gleichzeitig, dass es nur eine „wirklich ganz minimale Schwachstelle“ gäbe.

Der Herausgeber einer Site über Microsoft-Software, Russ Cooper, sagte dagegen: „Es ist ein Sicherheitsloch, das es anderen erlaubt, Inhalte von Websites zu verändern. Allerdings nur, wenn die betreffenden Personen bereits die Berechtigung haben, andere Homepages auf dem jeweiligen Server editieren dürfen.“ Er empfahl Internet Service Providern (ISPs) die Schwachstelle schnell zu beseitigen.

Das Sicherheitsloch besteht in einer Dynamic Link Library, der „dvwssr.dll“. Diese ermöglicht den Zugang zu den Acitve Server Pages (ASPs) und Applikationen einer Site. Die Datei unterstützt Visual Interdev 1.0, mit dem sich interaktive Links zurückverfolgen lassen. Diese Funktion ist zwar nicht häufig im Einsatz, trotzdem wird die .dll-File bei der Grundeinstellung des IIS mit installiert, weshalb sie weit verbreitet ist.

Der Manager des Microsoft Security Response Centers, Steve Lipner, sagte, dass die Hintertür „die Schranken zwischen den Accounts eines gemeinsam benutzten Servers einreißt.“ Er schränkt jedoch ein: „Aber Sie können keine Daten einsehen, für die Sie nicht die nötige Berechtigung haben.“ Lipner, der das geheime Passwort bekannt machte, bezeichnete die ursprünglichen Medienberichte über das Sicherheitsloch als reichlich überzogen.

Kontakt:
Microsoft, Tel.: 089/31760