Updates beseitigen siebzehn Lücken
Microsoft Patch Day: Office löchrig wie ein Sieb
MS08-006: Code-Ausführung über IIS5 und IIS6
Eine weitere Lücke im Internet Information Server (IIS) ermöglicht es einem Angreifer, Code mit den Rechten der Worker Process Identity (WPI) auszuführen. Diese läuft normalerweise im Rechtekontext „Netwerkdienst“.
Grund ist eine mangelhafte Validierung von Benutzereingaben an eine ASP-Seite. Ein Angreifer muss also lediglich speziell präparierte Daten an eine ASP-Seite senden, um die Lücke auszunutzen.
Datum |
12.02.2008 |
---|---|
Warnstufe |
Wichtig |
Betrifft |
Windows XP, Server 2003 |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |