A Microsoft publicou hoje um patch que corrige todas as falhas de seu servidor IIS previamente conhecidas, assim como 10 novas vulnerabilidades descobertas. Todas as novas falhas afetam o IIS 5.0, e algumas também afetam o IIS 4.0, 5.1 e a beta do 6.0. Oito das falhas foram descobertas por outras empresas e indivíduos, mas duas delas foram achadas internamente, durante o processo de revisão de códigos que a Microsoft está realizando. E, atendendo à reclamações de administradores, foi lançado um único patch para dar conta de vários bugs.
Três das mais graves falhas permitem um atacante rode no servidor um código de sua escolha, e são consideradas críticas. O problema é mitigado pelo fato do invasor ter privilégios de um usuário sem privilégios de administrador. Outras vulnerabilidades permitem ataques de negação de serviço e cross-site scripting.
Link:
www.microsoft.com/technet/security/bulletin/MS02-018.asp
