Microsoft bada najnowszą lukę w zabezpieczeniach Microsoft Internet Information Services (IIS), która pozwala na podniesienie uprawnień niepowołanym użytkownikom. Produkty, które są zagrożone to IIS 5.0, IIS 5.1 oraz IIS 6.0, tak więc użytkownicy nowszych wersji nie muszą się obawiać. Jak na razie, nie zostały stwierdzone żadne próby ataku przy użyciu tej luki w zabezpieczeniach.
Dziura, która została odnaleziona istnieje w rozszerzeniu WebDAV. Atakujący przy użyciu odpowiednio spreparowanego żądania HTTP może uzyskać dostęp do zasobów, które wymagają autoryzacji.
Jak na razie nie została opublikowana łatka. Jak można więc się zabezpieczyć?
WebDAV jest domyślnie wyłączone na platformie Windows Server 2003 IIS 6.0. Jeśli nie ma takiej potrzeby, nie należy uruchamiać tego rozszerzenia.
Wyłączenie praw zapisu dla użytkownika anonimowego.
Więcej na temat luki znajduje się pod adresem: http://www.microsoft.com/technet/security/advisory/971492.mspx
