Das Anhängen von gewissen Unicode-Zeichen an eine URL lässt sich benutzen, um den Passwortschutz in Microsoft IIS 6.0 mit WebDav zu umgehen. Somit könnte ein Angreifer sogar Dateien in geschützte Ordner hochladen. Microsofts Internet Information Server 7 ist nicht betroffen. Weiterhin ist WebDav nicht per Standard aktiviert in IIS 6.0.
Weitere Informationen finden Sie in einem PDF-Dokument von seclists.org oder im Blog von Zoller.lu. Administratoren sollten sich überlegen, WebDav temporär abzuschalten, bis weitere Details oder eine Lösung des Problem zur Verfügung stehen. (jdo)