Den 21. november udsendte Microsoft en "Security Bulletin" samt tilhørende patch, der fjerner en mindre fejl i IIS 5.0. Den såkaldte "Web Server File Request Parsing Vulnerability" kan bruges til at afvikle batchfiler, som allerede er gemt på pc'en.
Sårbarheden kan imidlertid kun udnyttes, hvis angriberen kender filens navn og placering og samtidig har retten til at afvikle filen.
Den bulgarske sikkerheds-ekspert Georgi Guninski har nu opdaget, at Microsoft's patch til problemet åbner et helt nyt sikkerhedshul, der er meget værre end den gamle fejl. Nu kan uvedkommende ikke blot afvikle batchfiler, men også køre alle systemkommandoer over Internet.
Det er også muligt at læse indholdet i de fleste filer, ifølge Guninski. Han anbefaler, at rettelsen omgående fjernes igen. Guninski siger, at han har informeret Microsoft om problemet den 25. november, men endnu ikke modtaget et svar.
(Futurezone / tecchannel.de)
