Vulnerabilidad en el software de Microsoft para sitios web IIS (Internet Information Services) permite sabotear el sistema sencillamente colocando un punto y coma (;) después de un archivo con raíz .asp, .cer o .asa.
El problema afecta a la versión 7 de IIS. La versión más reciente, IIS 7.5, no presenta la vulnerabilidad. El agujero de seguridad surge debido a la forma en que IIS gestiona el componente “;”. Así, programas malignos y procesos pueden ser camuflados como archivos no ejecutables.
El resultado es que un intruso puede, al menos en teoría, asumir el control de sitios web, y posteriormente instalar y ejecutar funciones malignas en los PC de quienes visitan los sitios intervenidos.
Microsoft está investigando el problema, y se espera que publique un parche dentro de las próximas horas.
El problema fue detectado inicialmente por el experto en seguridad informática Sourosh Dalili
Fuente: secunia
Comments are closed.