Microsoft Internet Information Services (IIS) содержит уязвимость, позволяющую дистанционно выполнять вредоносный код по мнению экспертов. Уязвимость затрагивает систему обработки имен файлов и расширений в веб-сервере, который является основным компонентом Microsoft IIS.
Обычно веб-приложения сконфигурированы таким образом, чтобы отвергать попытки загрузки исполнимых файлов, снабженных, например, расширениями .asa, .asp, .aspx или .cer. Между тем выяснилось, что добавление к оригинальному наименованию файла доверенного расширения (через точку с запятой) позволяет обойти ограничения, заставив систему считать, что файл с именем file.aspx;.jpg содержит лишь безопасную графическую информацию. Однако обрабатываться такой файл будет как исполнимый.

По мнению специалистов Secunia, «дыра» встречается во всех версияx IIS. С точки зрения уровня критичности уязвимость была оценена на два балла из пяти возможных, хотя наблюдатели не согласны со столь низкой оценкой.

 

По материалам The Register и Compulenta.