Vulnerabilidad en el software de Microsoft para sitios web IIS (Internet Information Services) permite sabotear el sistema sencillamente colocando un punto y coma (;) después de un archivo con raíz .asp, .cer o .asa.

El problema afecta a la versión 7 de IIS. La versión más reciente, IIS 7.5, no presenta la vulnerabilidad. El agujero de seguridad surge debido a la forma en que IIS gestiona el componente “;”. Así, programas malignos y procesos pueden ser camuflados como archivos no ejecutables.

El resultado es que un intruso puede, al menos en teoría, asumir el control de sitios web, y posteriormente instalar y ejecutar funciones malignas en los PC de quienes visitan los sitios intervenidos.

Microsoft está investigando el problema, y se espera que publique un parche dentro de las próximas horas.

El problema fue detectado inicialmente por el experto en seguridad informática Sourosh Dalili

Fuente: secunia