Der Redmonder Software-Riese Microsoft ist Medienberichten entgegengetreten, wonach der hauseigene Internet Information Server (IIS) einen kritischen Fehler aufweisen soll.
Man habe die Untersuchungen der über die Feiertage bekannt gewordenen, vermeintlichen Lücke nun abgeschlossen und keinen Software-Fehler ausmachen können, teilte das Unternehmen am Dienstagmittag (Ortszeit) in Redmond mit. Microsoft räumte zwar eine Inkonsistenz des IIS beim Handling von Semikola in URLs ein. Dies führe aber nicht zwangsläufig dazu, dass ein Angreifer Sicherheitsmechanismen umgehen und eigenen Code einschleusen könne.
In der Standard-Installation des Web-Servers sei dies nicht möglich, weil die Konfiguration in einem Verzeichnis nicht gleichzeitig die Rechte "Write" und "Execute" vorsehe. Wer seinen IIS dennoch in dieser Art und Weise konfiguriert habe, sei ohnehin anfällig für allerlei Angriffsszenarien, hieß es bei Microsoft. Der Anbieter verwies gleichzeitig auf insgesamt vier "Best Practice"-Dokumente, die eine Absicherung des IIS genau beschreiben. Sie sind
Die vermeintliche Lücke hatte in den vergangenen Tagen ein aufgeregtes Rauschen in Blogs, Foren und Branchendiensten verursacht. Der IIS kommt unter anderem bei Windows Home Servern zum Einsatz, um remote auf den Rechner per Browser zugreifen zu können.
Quelle:magnus.de
Man habe die Untersuchungen der über die Feiertage bekannt gewordenen, vermeintlichen Lücke nun abgeschlossen und keinen Software-Fehler ausmachen können, teilte das Unternehmen am Dienstagmittag (Ortszeit) in Redmond mit. Microsoft räumte zwar eine Inkonsistenz des IIS beim Handling von Semikola in URLs ein. Dies führe aber nicht zwangsläufig dazu, dass ein Angreifer Sicherheitsmechanismen umgehen und eigenen Code einschleusen könne.
In der Standard-Installation des Web-Servers sei dies nicht möglich, weil die Konfiguration in einem Verzeichnis nicht gleichzeitig die Rechte "Write" und "Execute" vorsehe. Wer seinen IIS dennoch in dieser Art und Weise konfiguriert habe, sei ohnehin anfällig für allerlei Angriffsszenarien, hieß es bei Microsoft. Der Anbieter verwies gleichzeitig auf insgesamt vier "Best Practice"-Dokumente, die eine Absicherung des IIS genau beschreiben. Sie sind
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
,
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
,
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
und
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
zu finden - alle in englischer Sprache. Die vermeintliche Lücke hatte in den vergangenen Tagen ein aufgeregtes Rauschen in Blogs, Foren und Branchendiensten verursacht. Der IIS kommt unter anderem bei Windows Home Servern zum Einsatz, um remote auf den Rechner per Browser zugreifen zu können.
Quelle:magnus.de