Keine Entwarnung für Nutzer der Internet-Information-Services-Software von Microsoft. Im Gegenteil: Nach Angaben des Software-Riesen weist neben den Versionen 5.0, 5.1 und 6.0 auch IIS 7.0 eine kritische Schwachstelle im FTP-Modul auf (siehe Beitrag Zero-Day-Sicherheitloch in Microsofts Internet Information Services).

Wie berichtet, können Angreifer einen Stack-Overflow des IIS provozieren und eigenen Code in LocalSystem-Umgebungen ausführen.

Gegenmaßnahmen

Laut Microsoft wurden bereits erste Attacken registriert, die sich diese Schwachstelle zunutze machen. Der Hersteller rät daher Anwendern der oben genannten IIS-Versionen, den FTP-Zugang vorläufig zu deaktivieren.

Zudem sei es angeraten, für anonyme User den Schreibzugriff auf IIS-Systemen zu sperren. Auch das Anlegen neuer Verzeichnisse auf IIS-Servern sollte deaktiviert werden, bis ein Sicherheits-Patch vorliegt.

Details zu dem Problem hat Microsoft im Security Advisory 975191 veröffentlicht. Unklar ist, ob das Unternehmen bereits morgen am monatlichen Patch-Day eine Lösung parat hat. Das ist allerdings ziemlich unwahrscheinlich, weil ein Patch vor Veröffentlichung sorgfältig getestet werden muss.