Microsoft enquête sur une faille dans IIS

Microsoft confirme enquêter sur une vulnérabilité zero-day de son serveur Web IIS (Internet Information Services) qui permettrait d’exécuter du code malicieux sur ces mêmes serveurs web.

Microsoft confirme enquêter sur une vulnérabilité zero-day de son serveur Web IIS (Internet Information Services) qui permettrait d’exécuter du code malicieux sur ces mêmes serveurs web.
Selon Soroush Dalili, chercheur en sécurité, la faille résiderait dans une mauvaise exécution du serveur de certaines pages (.asp, donc) dont le nom contiendrait plusieurs extensions séparées par un point-virgule.
Qualifiée de très critique par Dalili, Microsoft minimise quant à lui l'impact de la faille en expliquant d’une part qu’aucune attaque n’est encore rapportée et surtout, que l’exploit n’est possible que dans un environnement non-configuré du serveur.

En septembre 2009, nos confrères de CNIS pointaient également une faille dans le FTP (File Transfer Protocol) de IIS 5 et 6. Une vulnérabilité comblée depuis par Redmond.

Pour approfondir sur Editeurs

Close