Microsoft w�a�nie potwierdzi� istnienie luki w pakiecie Internet Information Services (IIS). B��d znajduje si� w wersjach 6.0, 5.0 oraz 5.1, natomiast wolna od niego jest wersja 7.0.

Luka jest zwi�zana z b��dem w funkcji obs�ugi protoko�u WebDAV podczas dekodowania adres�w URL zawieraj�cych znaki Unicode. W wyniku tego mo�liwe jest obej�cie mechanizmu uwierzytelniania i uzyskania dost�pu do chronionych katalog�w i plik�w. Dost�p jest uzyskiwany dla anonimowego konta u�ytkownika. Na szcz�cie, poniewa� u�ytkownik nie ma praw do zapisu na serwerze, wi�c nie mo�e wykorzystywa� tej luki do manipulacjami plikami.

Do czasu za�atania luki, zaleca si� dwie drogi obej�cia problemu: wy��czenie WebDAV lub zablokowanie anonimowego dost�pu.

�r�d�o: http://www.heise-online.pl/