Точных данных Microsoft не раскрывает до момента выпуска соответствующего исправления.
Тем не менее, техперсонал указывает на то, что эксплуатация уязвимости позволяет злоумышленнику поднять привилегии без соответствующих на то санкций. Сбойный компонент находится в расширении WebDAV, управляющем запросами HTTP. "Атакующий может сформировать специальный HTTP-запрос, который предоставит ему доступ к директории, обычно доступные только по паролю", - говорят в Microsoft.
В корпорации отмечают, что пока атака имеет очень ограниченную популярность. Если всплеска активности подобных атак не будет, то патч для IIS выйдет в рамках традиционного ежемесячного выпуска (первый вторник нового месяца), если же будет отмечен всплеск атак, то патч выйдет вне очереди.
Источник: http://www.cybersecurity.ru/
Тем не менее, техперсонал указывает на то, что эксплуатация уязвимости позволяет злоумышленнику поднять привилегии без соответствующих на то санкций. Сбойный компонент находится в расширении WebDAV, управляющем запросами HTTP. "Атакующий может сформировать специальный HTTP-запрос, который предоставит ему доступ к директории, обычно доступные только по паролю", - говорят в Microsoft.
В корпорации отмечают, что пока атака имеет очень ограниченную популярность. Если всплеска активности подобных атак не будет, то патч для IIS выйдет в рамках традиционного ежемесячного выпуска (первый вторник нового месяца), если же будет отмечен всплеск атак, то патч выйдет вне очереди.
Источник: http://www.cybersecurity.ru/
2 коммент.:
Клоуны! Уязвимость ИМХО достаточно серьезная, а они "через месячишко будет вам патч... может быть!" :) Ой не соскучишься с мелкомягкими...
Не говори... Я тоже был в шоке...
У меня 2 сервера на IIS (не на моей ответственности, а в компании), на апач и никсы нельзя перевести из-за какой-то привязки к винде :(
Отправить комментарий