Flere amerikanske medier skriver at en hacker sidste uge blev afsløret under et indbrud i to ikke-kritiske servere hos det amerikanske forsvarsministerium Pentagon. Hackeren brugte en webadresse på omkring 50.000 tegn til at oversvømme en ubeskyttet WebDAV-buffer i Microsoft IIS 5.0 under Windows 2000.
Efter angrebet mod Pentagon har Microsoft straks reageret og udsendt en sikkerhedsopdatering til Windows 2000, som skal fjerne sårbarheden.
Microsoft understreger, at hullet ikke findes i IIS 5.0 under andre Windows-versioner. Samtidig understreges det, at sårbarheden er meget alvorlig og i værste fald kan give angriberen fri og ubegrænset adgang til serveren.
Pentagon har ikke kommenteret sagen, men sikkerhedsfirmaet TruSecure, som var de første til at publicere informationer om angrebet, mener ikke at udenlandske terrorister eller regeringer står bag.
Det betegnes som opsigtsvækkende at et færdigt exploitværktøj er i omløb allerede inden Microsoft er klar med en opdatering - endsige klar over, at hullet overhovedet eksisterer.