This version of the page http://chip.com.ua/530123.html (0.0.0.0) stored by archive.org.ua. It represents a snapshot of the page as of 2010-04-03. The original page over time could change.

CHIP.com.ua: В Microsoft IIS найдена критическая уязвимость

Новости

Сервисы сайта
01 Реклама на сайте
02 Разместить новость
03 Добавить источник
04 Установить информер
05 Проверка домена
06 Обратная связь

Главная → Безопасность → 29 Декабрь 2009, 11:52 / 95 дней назад

В Microsoft IIS найдена критическая уязвимость

ИТ-специалисты из финской компании Secunia сообщили об обнаружении опасного бага в программном веб-сервере Microsoft Internet Information Services. itnews.com.ua

ИТ-специалисты из финской компании Secunia сообщили об обнаружении "чрезвычайно опасного" бага в программном веб-сервере Microsoft Internet Information Services. Обнаруженная уязвимость позволяет злоумышленникам выполнять произвольный код на серверах под управлением Microsoft IIS. Сообщается, что баг кроется в системе обработки имен файлов и их расширений.

Многие веб-серверы сконфигурированы таким образом, чтобы отклонять загрузку из Сети исполняемых двоичных файлов и различных скриптов, к примеру файлов .asp или .aspx, однако подменив разрешение злоумышленники вполне могут обойти это ограничение.

"Значение этой уязвимости трудно переоценить. Атакующий для загрузки необходимого файла может просто добавить после запятой нужное ему расширение. К примеру, после файла .asp поставить запятую и загрузить его на сервер, как .asp,jpg. Точно также можно заменить расширения .cer, .asa и других. Многие ИТ-приложения окажутся подвержены этой атаке из-за слабого алгоритма обработки расширений в Microsoft IIS" , - говорят специалисты.

По словам исследователей, добавление расширения .jpg - это лишь один из векторов атак. На серверы можно загружать и файлы с другими типами. К примеру, атакующий может загрузить на сервер веб-оболочку и просматривать файлы, хранящиеся на дисках. Также сообщается, что баг присутствует во всех стабильных версиях IIS, передает CyberSecurity.

В Microsoft сообщили, что работают над проблемой.

Orig:http://77.120.99.206/images/news/200912/XP-Gloss_Red.jpg

rss

Безопасность

14:00

Спамеры сбежали из Китая в Рунет

Orig:http://77.120.122.115/images/upload/small-595156.jpg

Эксперты по сетевой безопасности отмечают резкое уменьшение в зоне .cn новых веб-ресурсов, которые рекламируются в спамерских рассылках.

02/04

Ученые заменят пароли на штрихкоды (видео)

Orig:http://77.120.122.115/images/upload/small-594803.jpg

Для авторизации на сайте пользователю потребуется не ввести логин и пароль, а сфотографировать двумерный штрихкод на камеру мобильного телефона.

02/04

Появились «телохранители» для ноутбуков

Orig:http://77.120.122.115/images/upload/small-594798.jpg

Недавно открывшаяся в Швейцарии фирма eBodyguards предлагает путешествующим бизнесменам услуги специалистов по компьютерной безопасности.

Последние новости

14:00

Спамеры сбежали из Китая в Рунет

02/04

Entensys и Commtouch объявляют о начале совместной акции по защите от спама (itnews.com.ua)

02/04

Ученые заменят пароли на штрихкоды (видео)

02/04

Появились «телохранители» для ноутбуков

02/04

Вирусные угрозы марта 2010 года (itnews.com.ua)

31/03

Милиция защитит страну от копировальной техники

31/03

Использование стандартной учетной записи закрывает 90% уязвимостей Windows 7

31/03

Милиция изъяла серверы мобильной онлайн-игры

31/03

61% новых угроз - банковские трояны (itnews.com.ua)

27/03

Интервью с Е.Касперским: «Наших пользователей на сегодняшний день больше 300 млн чело..

При полном или частичном воспроизведении новостных материалов ссылка на CHIP.com.ua обязательна.
Администрация сайта может не разделять мнение автора и не несет ответственности за авторские материалы.
Copyright © 2000-2009 «CHIP.com.ua». All rights reserved