Eine neu entdeckte und von Microsoft als ‚kritisch‘ eingestufte Sicherheitslücke im Internet Information Server (IIS) 5.0 ermöglicht es Angreifern, beliebigen Code auf dem Betroffenen System auszuführen und somit die Kontrolle zu übernehmen. Ein Patch zur Behebung des Problems steht zum Download bereit.
Wieder einmal lautet die Ursache des Sicherheitslecks „Buffer Overrun“ (Pufferüberlauf). Das Problem tritt auf, wenn in einem Programm für eine Funktion Dateneingaben einer bestimmten Größe erwartet werden, das Programm jedoch auch Dateneingaben mit ungültigen Größen ungeprüft verarbeitet. Angreifer können diesen Programmierfehler ausnutzen, um beliebigen ausführbaren Code in das System einzuschleusen.
Die Sicherheitslücke betrifft ausschließlich Windows-2000-Systeme mit installiertem IIS 5.0, in erster Linie also Windows 2000 Server, Advanced Server und Datacenter Server, die den Dienst standardmäßig mit installieren. Unter Windows 2000 Professional wird IIS per Default nicht eingerichtet.
Die Lücke befindet sich in einer Windows-Komponente, die vom WebDAV-Protokoll (World Wide Web Distributed Authoring and Versioning) genutzt wird. Sendet ein Angreifer einen speziell formatierten HTTP-Request an einen ungepatchten Rechner mit laufendem IIS 5.0, kann ein Angreifer schädlichen Code mit vollen Zugriffsrechten ausführen.
Microsoft rät dringend zur Installation des Patches zur Behebung des Problems:
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…