Microsoft właśnie potwierdził istnienie luki w pakiecie Internet Information Services (IIS). Błąd znajduje się w wersjach 6.0, 5.0 oraz 5.1, natomiast wolna od niego jest wersja 7.0.

Luka jest związana z błędem w funkcji obsługi protokołu WebDAV podczas dekodowania adresów URL zawierających znaki Unicode. W wyniku tego możliwe jest obejście mechanizmu uwierzytelniania i uzyskania dostępu do chronionych katalogów i plików. Dostęp jest uzyskiwany dla anonimowego konta użytkownika. Na szczęście, ponieważ użytkownik nie ma praw do zapisu na serwerze, więc nie może wykorzystywać tej luki do manipulacjami plikami.

Do czasu załatania luki, zaleca się dwie drogi obejścia problemu: wyłączenie WebDAV lub zablokowanie anonimowego dostępu.

Źródło: http://www.heise-online.pl/