Ep 021: UTF-8 Encoding Examples
セキュリティベンダーは、MicrosoftのInternet Information Services 6 Webサーバーソフトウェアのユーザーに、新しいオンライン攻撃がデータを危険にさらす可能性があることを警告しています。 Full Disclosureセキュリティメーリングリストに対する脆弱性特別に細工されたHTTPリクエストをサーバーに送信することによって、彼はマシン上のファイルを表示およびアップロードすることができました。マイクロソフトのソフトウェアがUnicodeトークンを処理する方法のバグを利用している、と同氏は述べている。
米国のコンピュータ緊急対応チームは、この脆弱性がオンライン攻撃で使用されていると述べた。あなたのWindows PCからマルウェアを削除する]
声明のなかで、Microsoftはこのような攻撃は何も聞いていないが、Rangosの主張を調査していると述べた。
WebDAV(Web-based Distributed Authoring and Versioning)プロトコルを有効にし、文書を共有するために使用されたIIS 6ユーザーに影響するバグは、「顧客にガイダンスを提供するためのセキュリティ勧告に取り組んでいます。 Rangosの調査結果を確認した独立したセキュリティ研究者であるThierry Zoller氏によると、攻撃者はサーバー上の保護されたファイルを無断で閲覧する方法を提供し、ファイルをアップロードすることもできるという。しかし、Zoller氏は、この欠陥をIISサーバー上で不正なソフトウェアを実行するために使用する方法は見つかっていないと述べています。Zoller氏は、IIS 5とIIS 7は攻撃に対して脆弱ではないようだが、 WebDAVテクノロジを使用する製品「WebDAVを一時的に無効にし、パッチを当てるまで待ちます」電子メールのインタビューで、Rangos氏は、WebDAVを有効にしても、IIS 6上で動作するExchange Serverと、 SharePoint Serverはこの脆弱性の影響を受けませんでした。
Ciscoも同様の警告を発しました。 「WebDAVを使用するIISサーバーの機密情報をホストしているサイトの管理者は、悪用コードが一般に公開されているため、すぐに効果的な軽減策を講じることを推奨している」と同社のWebサイトに掲載されたセキュリティ警告で述べている。