IIS-Hintertür nur ein „Türchen“?

Microsoft dementiert Relevanz des "Netscape-Techniker sind Schwächlinge"-Fehlers

Microsoft (Börse Frankfurt: MSF) hat dementiert, dass die am Freitag bekannt gewordene Hintertür im Internet Information Server (IIS) die Relevanz hätte, die ihre Entdecker ihr beimessen. Zwar wiederspricht die Firma dem Bericht nicht, sagt aber gleichzeitig, dass es nur eine „wirklich ganz minimale Schwachstelle“ gäbe.

Der Herausgeber einer Site über Microsoft-Software, Russ Cooper, sagte dagegen: „Es ist ein Sicherheitsloch, das es anderen erlaubt, Inhalte von Websites zu verändern. Allerdings nur, wenn die betreffenden Personen bereits die Berechtigung haben, andere Homepages auf dem jeweiligen Server editieren dürfen.“ Er empfahl Internet Service Providern (ISPs) die Schwachstelle schnell zu beseitigen.

Das Sicherheitsloch besteht in einer Dynamic Link Library, der „dvwssr.dll“. Diese ermöglicht den Zugang zu den Acitve Server Pages (ASPs) und Applikationen einer Site. Die Datei unterstützt Visual Interdev 1.0, mit dem sich interaktive Links zurückverfolgen lassen. Diese Funktion ist zwar nicht häufig im Einsatz, trotzdem wird die .dll-File bei der Grundeinstellung des IIS mit installiert, weshalb sie weit verbreitet ist.

Der Manager des Microsoft Security Response Centers, Steve Lipner, sagte, dass die Hintertür „die Schranken zwischen den Accounts eines gemeinsam benutzten Servers einreißt.“ Er schränkt jedoch ein: „Aber Sie können keine Daten einsehen, für die Sie nicht die nötige Berechtigung haben.“ Lipner, der das geheime Passwort bekannt machte, bezeichnete die ursprünglichen Medienberichte über das Sicherheitsloch als reichlich überzogen.

Kontakt:
Microsoft, Tel.: 089/31760

Themenseiten: Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu IIS-Hintertür nur ein „Türchen“?

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *