Firma Microsoft udostępniła wczoraj dwie poprawki zabezpieczeń dla swojego internetowego serwera informacyjnego (IIS). Pierwsza dotyczy luki w zabezpieczeniach związanej z analizowaniem znaków ucieczki, natomiast druga naprawia lukę związaną z nazewnictwem katalogów wirtualnych.
Luka w zabezpieczeniach związana z analizą znaków ucieczki może pozwolić na określenie plików na serwerze internetowym przy użyciu alternatywnej reprezentacji w celu ominięcia kontroli dostępu niektórych aplikacji innych firm. RFC 1738 określa, że serwery internetowe muszą zezwalać na wprowadzanie cyfr szesnastkowych w adresach URL, poprzedzając je tak zwanym znakiem „escape”, czyli znakiem procentu. IIS jest zgodny z tą specyfikacją, ale akceptuje także znaki po znaku procentu, które nie są cyframi szesnastkowymi. Niektóre z nich są tłumaczone na drukowane znaki ASCII, co może stanowić kolejny sposób określania plików w adresach URL.
W pewnych warunkach luka w zabezpieczeniach nazewnictwa katalogów wirtualnych może spowodować, że serwer WWW wyśle odwiedzającemu użytkownika kod źródłowy .ASP i inne pliki. Jeśli plik na jednym z produktów serwerów WWW, których dotyczy problem, znajduje się w katalogu wirtualnym, którego nazwa zawiera legalne rozszerzenie, normalne przetwarzanie pliku po stronie serwera może zostać pominięte. Luka objawia się na różne sposoby, w zależności od konkretnego typu żądanego pliku, konkretnego rozszerzenia pliku w nazwie katalogu wirtualnego oraz uprawnień osoby żądającej do katalogu. W większości przypadków wystąpiłby błąd i żądany plik nie zostałby udostępniony. W najgorszym przypadku do przeglądarki może zostać wysłany kod źródłowy pliku .ASP lub innych plików.
Odwiedź witrynę Microsoft Security Advsior znajdującą się pod adresem http://www.microsoft.com/security aby uzyskać więcej informacji i pobrać najnowsze poprawki.
Microsoft i Red Hat podejmują kroki mające na celu wzmocnienie handlu elektronicznego
Microsoft przedstawia nową wersję beta witryn MSN.com i Messenger
Microsoft zachęca Sony i Nintendo do zachęcania do rozgrywki międzyplatformowej
Poród był trudniejszy niż zwykle, ale Microsoft jest właścicielem Activision
Microsoft nie pozwoli, aby Xbox 360 „wykrwawił się na śmierć”
Microsoft przygotowuje publiczne uruchomienie IE 5.5
Microsoft Xbox Live powinien pokonać PlayStation 3
Koniec telenoweli: Microsoft (wreszcie) konsoliduje zakup Activision Blizzard
Microsoft przedstawia mobilny eksplorator
Microsoft przedstawia Scorpio jako „najpotężniejszą konsolę w historii”
Microsoft broni się, że przy mocy PS4 Pro nie można zaoferować natywnego 4K
Sony, Microsoft i Nintendo zjednoczyły się przeciwko Trumpowi i jego cłom na gry wideo
Microsoft Surface – nowe zjawisko na rynku tabletów
Microsoft – ulepszony Kinect wkracza na PC
Jest rozwijany wspólnie przez Nokię i Microsoft
Microsoft daje zielone światło „hakerom” Kinect