Punto y coma compromete la seguridad de servidores web de Microsoft

Vulnerabilidad en el software de Microsoft para sitios web ISS (Internet Information Services) permite sabotear el sistema sencillamente colocando un punto y coma (;) después de un archivo con raíz .asp, .cer o .asa.

El problema afecta a la versión 7 de ISS. La versión más reciente, ISS 7.5, no presenta la vulnerabilidad.

El agujero de seguridad surge debido a la forma en que ISS gestiona el componente «;». Así, programas malignos y procesos pueden ser camuflados como archivos no ejecutables.

El resultado es que un intruso puede, al menos en teoría, asumir el control de sitios web, y posteriormente instalar y ejecutar funciones malignas en los PC de quienes visitan los sitios intervenidos.

Microsoft está investigando el problema, y se espera que publique un parche dentro de las próximas horas.

El problema fue detectado inicialmente por el experto en seguridad informática Sourosh Dalili, que lo describe en este documento (archivo PDF).

Fuente: Secunia