A Microsoft weboldalán tegnap egy új javítócsomagot tett közzé Internet Information Server nevű termékéhez is, amely négy eddig - legalábbis a nagyközönség számára - nem ismert sebezhetőséget javít. A szoftverkonszern a javított sebezhetőségek mindegyikének "mérsékelt", illetve "alacsony" veszélyességi besorolást adott, bár egyikük segítségével akár a gép feletti teljes ellenőrzés átvételére is lehetőség nyílik.

A sebezhetőségek közül a legsúlyosabb bizonyos speciális feltételek teljesülése esetén privilégium-eszkalációt, és akár rendszerszintű jogosultságok megszerzését teszi lehetővé távoli támadók számára. Egy másik hiba az IIS WebDAV kéréseket kezelő rutinjaiban rejtőzik, és hibásan formázott kérésre extrém méretű memóriaterületek lefoglalását teszik lehetővé, amely a szerver belassulása révén az azon futtatott szolgáltatások leállásához (DoS) vezethet. A harmadik hiba, amely .COM típusú fájlok feltöltését teszi lehetővé script könyvtárakba, rosszindulató programkód futtatására nyújt módot a webszerveren bizonyos speciális feltételek teljesülése esetén. A negyedik sebezhetőség az IIS webes adminisztrációs felületeit érinti, és távoli támadók számára más felhasználók jogosultságaival történő műveletvégzésre ad lehetőséget.

Az Internet Information Server 4.0, 5.0 és 5.1 verzióit érintő sebezhetőségekről bővebb információk a Microsoft honlapján megjelent MS02-62 biztonsági figyelmeztetésben olvashatók, ahonnan a javítás is letölthető. A közzétett javítócsomagok kumulatívak, tehát az összes korábban felfedezett IIS-hibák foltjait is magukban foglalják.