Une vulnérabilité découverte dans IIS 6

Par:
fredericmazue

mar, 19/05/2009 - 14:30

Nikolaos Rangos, un chercheur en sécurité, à dévoilé sur http://seclists.org/, une vulnérabilité dans le serveur Web de Microsoft IIS. Dans le document publié, Nikolaos explique qu'il existe un défaut dans la fonctionnalité WebDAV d'IIS 6. Ce défaut consiste en un mauvais traitement de caractères Unicode lors du parsing des URI

L'exploitation de ce problème permettrait de court-circuiter le processus d'authentification et d'avoir accès au contenu, y compris pour téléchargement, des répertoires normalement protégés par mot de passe.

ISS 5 et 7 ne seraient pas concernés par ce problème. Microsoft prépare un bulletin de sécurité relatif à ce problème.