На этой неделе корпорация Microsoft выпустила очередную заплатку, предназначенную для устранения уязвимостей в пакете Internet Information Server (IIS). Комплект исправлений закрывает 10 дыр различной степени опасности вплоть до критической, и компания рекомендует незамедлительно установить заплатку на всех компьютерах, использующих IIS версий от 4.0 до 5.1.
Наиболее опасные из уязвимых мест связаны с возможностью переполнения буфера при использовании технологии Active Server Pages (ASP), весьма часто применяемой для динамической генерации веб-страниц. В результате злоумышленник получает возможность завесить сервер или запустить на нем какой-либо вредоносный код. Всего в реализации ASP обнаружено две дыры, одна из которых присутствует только в IIS версий 4.0 и 5.0, а вторая - во всех версиях пакета, включая 5.1, которая входит в комплект поставки новой ОС Windows XP.
Кроме того, исполнять на взломанном компьютере вредоносные программы позволяет и другая дыра, связанная с переполнением буфера при обработке сервером HTTP-заголовков. При этом, хотя в на IIS присутствуют средства защиты от "неправильных" заголовков, хакеру вполне по силам их обойти. Среди других дыр, исправляемых новым патчем, стоит отметить следующие: переполнение буфера и уязвимость для DoS-атак при использовании расширения HTR ISAPI, уязвимость для DoS-атак в FTP-сервере и сразу три дыры в технологии Cross-Site Scripting (CSS).
Microsoft сообщает также, что все перечисленные уязвимые места полностью ликвидированы в бета-версиях нового серверного пакета .NET Server, имеющих номер билда старше 3605. Скачать заплатки для разных версий Internet Information Server можно по следующим адресам: IIS 4.0, IIS 5.0, IIS 5.1.
