Microsoft enquête sur une faille dans IIS

Microsoft confirme enquêter sur une vulnérabilité zero-day de son serveur Web IIS (Internet Information Services) qui permettrait d’exécuter du code malicieux sur ces mêmes serveurs web.

par

Cyrille Chausson, Rédacteur en Chef

Publié le: 29 déc. 2009

Microsoft confirme enquêter sur une vulnérabilité zero-day de son serveur Web IIS (Internet Information Services) qui permettrait d’exécuter du code malicieux sur ces mêmes serveurs web.
Selon Soroush Dalili, chercheur en sécurité, la faille résiderait dans une mauvaise exécution du serveur de certaines pages (.asp, donc) dont le nom contiendrait plusieurs extensions séparées par un point-virgule.
Qualifiée de très critique par Dalili, Microsoft minimise quant à lui l'impact de la faille en expliquant d’une part qu’aucune attaque n’est encore rapportée et surtout, que l’exploit n’est possible que dans un environnement non-configuré du serveur.

En septembre 2009, nos confrères de CNIS pointaient également une faille dans le FTP (File Transfer Protocol) de IIS 5 et 6. Une vulnérabilité comblée depuis par Redmond.

Microsoft enquête sur une faille dans IIS

Microsoft confirme enquêter sur une vulnérabilité zero-day de son serveur Web IIS (Internet Information Services) qui permettrait d’exécuter du code malicieux sur ces mêmes serveurs web.

Pour approfondir sur Editeurs

Configurez simplement la répartition de charge entre des containers

IIS 6.0 : une vulnérabilité corrigée par micro-correctif tiers

VPS (Serveur Privé Virtuel)

Serveur Web