You are reading Microsoft ISS puede ser hackeado con solo “;”. You can leave a comment or trackback this post.
Posted on December 29th, 2009 by juan.
Categories: Vulnerabilidades.
Vulnerabilidad en el software de Microsoft para sitios web ISS (Internet Information Services) permite sabotear el sistema sencillamente colocando un punto y coma (;) después de un archivo con raíz .asp, .cer o .asa.
El problema afecta a la versión 7 de ISS. La versión más reciente, ISS 7.5, no presenta la vulnerabilidad.
El agujero de seguridad surge debido a la forma en que ISS gestiona el componente “;”. Así, programas malignos y procesos pueden ser camuflados como archivos no ejecutables.
El resultado es que un intruso puede, al menos en teoría, asumir el control de sitios web, y posteriormente instalar y ejecutar funciones malignas en los PC de quienes visitan los sitios intervenidos.
Microsoft está investigando el problema, y se espera que publique un parche dentro de las próximas horas.
El problema fue detectado inicialmente por el experto en seguridad informática Sourosh Dalili, que lo describe en este documento (archivo PDF).
Fuente: Diario T
0 comments.
Comments can contain some xhtml. Names and emails are required (emails aren't displayed), url's are optional.