Microsoft bestätigt jetzt einen Fehler im IIIS , der es erlaubte, mit manipulierten URLs in Unicode-Zeichen den Webserver hinters Licht zu führen. Der System-Nutzer Anonymous konnte so genutzt werden, um Daten auszuspähen.
Microsoft nennt auf seiner Sicherheitsseite zwei Wege, um die Lücke zu umgehen: Weil die WebDAV-Funktion URLs mit Unicode-Zeichen fehlerhaft interpretiert, komme es bei gefälschten URLs zu “Schleichwegen” für die Hacker – also WebDAV einfach abschalten, empfiehlt Microsoft.
Sollte die Funktion aber unbedingt benötigt werden, sollten Administratoren einfach den anonymen User deaktivieren oder zumindest blockieren. (Manfred Kohlen)
