Microsoft IIS Servers Vulnerable sa FTP Attack

Ang isang kritikal na depekto sa FTP component ng Microsoft Internet Information Service (IIS) ay maaaring magpahintulot sa isang magsasalakay na magsagawa ng malisyosong mga utos sa isang server, nagbabala ang Microsoft sa isang bagong seguridad na tagapayo.

Ayon sa isang Microsoft Security Research & Tanggulan post, kung ang isang mahina IIS 5.0 (Windows 2000), 5.1 (XP) o 6.0 (Server 2003) pagtatangka ng FTP na ilista ang isang "mahaba, espesyal na ginawa na direktoryo ng direktoryo," isang overflow na stack ang magaganap na maaaring magpapahintulot sa remote code pagpapatupad. Ang IIS 7.0 (Vista, Server 2008) ay hindi mahina, ayon sa post.

Upang ma-hit, "ang isang FTP server ay kailangang magbigay ng mga hindi pinagkakatiwalaan ng mga gumagamit ng pag-access upang mag-log in at lumikha ng mahaba, espesyal na-draft na direktoryo."

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Wala pang patch na magagamit, at sinabi ng Microsoft na nakita nito ang "detalyadong pagsasamantalang code" na magagamit online, bagaman hindi pa ito nakikita ang anumang aktibong pag-atake. Ang mga listahan ng mga post ng Microsoft na mga workaround para sa panahong ito, kabilang ang kung paano maiwasan ang mga hindi nakikilalang mga gumagamit ng FTP na makagagawa ng mga direktoryo.