[日本語: Japanese] CVE-2017-7269 IIS 6.0 WebDAV ScStoragePathFromUrl 0day Metasploit Demo
Güvenlik satıcıları, Microsoft'un Internet Information Services 6 Web sunucusu yazılımını yeni bir çevrimiçi saldırının verilerini riske atabileceği uyarısında bulunuyor.
Güvenlik araştırmacısı Nikolaos Rangos, Full Disclosure güvenlik e-posta listesindeki güvenlik açığı. Sunucuya özel hazırlanmış bir HTTP isteği göndererek, makinedeki dosyaları görüntüleyebilir ve yükleyebilir. Saldırı, Microsoft'un yazılımlarının Unicode tokenlerini işleyiş biçimindeki bir hatadan faydalandığını söyledi.
Çevrimiçi saldırılarda güvenlik açığı kullanılıyor, ABD Bilgisayar Acil Müdahale Ekibi Pazartesi günü açıkladı.
[Ek okuma: Nasıl Yapılır? Windows PC'nizden kötü amaçlı yazılımları kaldırın]Microsoft bir açıklamada, böyle bir saldırıyı duymadığını, ancak Rangos'un iddialarını araştırdığını söyledi. "Müşterilere rehberlik sağlamak için bir güvenlik danışmanı üzerinde çalışıyoruz." Dedi. Pazartesi günü.
Bu hata, dokümanları paylaşmak için kullanılan WebDAV (Web Tabanlı Dağıtılmış Yazma ve Sürüm Oluşturma) protokollerini etkinleştiren IIS 6 kullanıcılarını etkiliyor Web.
Saldırganlara izinsiz olarak sunucuda korunan dosyaları görüntülemenin bir yolunu verir ve Rangos'un bulgularını doğrulayan bağımsız bir güvenlik araştırmacısı olan Thierry Zoller'e göre dosyaları yüklemek için de kullanılabilir. Ancak Zoller, bu kusuru bir IIS sunucusunda yetkisiz yazılım çalıştırmak için kullanmanın hiçbir yolunu bulamadığını söyledi.
Zoller, IIS 5 ve IIS 7'nin saldırıya karşı savunmasız kaldığını, ancak diğer Microsoft'u etkileyebileceğini söyledi. WebDAV teknolojisini kullanan ürünler. "Üzgün olmaktan daha güvenli," dedi, "WebDAV'ı geçici olarak devre dışı bırak ve Microsoft'un yama yapmasını bekle."
Bir e-posta röportajında, Rangos, WebDAV etkinken bile, Exchange Server'ın IIS 6'da çalıştırıldığını ve SharePoint Server kusurdan etkilenmedi.
Cisco da benzer bir uyarı verdi. "WebDAV kullanan IIS sunucularında hassas bilgi barındıran sitelerin yöneticilerine, güvenlik kodunun herkes tarafından erişilebilmesinden dolayı etkili etki azaltma önlemleri almaları önerilir." Dedi.
Numaralı yolda iPhone'unuz üzerinde sözleşme imzalanmamıştır. AT & T, müşterilerin iPhone üzerinden bir sözleşme yapmadan satın almalarına izin verebilir.
AT & T Mobility, Salı günü iPhone 3G fiyatlandırmasına bazı yıldız işaretleri koydu, ancak gelecekte ilginç bir seçenek ortaya çıkardı: bir sözleşmesiz iPhone.
Tarayıcı Hatası E-posta Olmadan Kimlik Avına İzin Verebilir
Güvenlik Sağlayıcısı Trusteer, e-posta olmadan kimlik avı yapmanın bir yolu olduğunu söyledi. Tüm önemli tarayıcılarda bir hata.
Clearwire Alımı Sprint'in sınırsız veri planlarını kaydetmesine izin verebilir
Sprint Nextel'in önerilen ağ iş ortağı Clearwire satın alma işlemi kaçınılmaz olabilir ve Sprint'e yardımcı olabilir. imzasını sınırsız mobil veri planlarını canlı tutmaya devam et.