Microsoft zaprzeczył doniesieniom z ubiegłego tygodnia na temat krytycznej luki w popularnym serwerze stron internetowych Internet Information Services (IIS).

Firma Microsoft twierdzi, iż klienci używający IIS 6.0 w standardowej konfiguracji, bądź postępujący według zaleceń producenta nie spotkają się z żadnymi problemami.

Na oficjalnym blogu, Microsoft Security Response Center utrzymuje, iż nie ma luki w zabezpieczeniach serwera IIS.
"W IIS 6.0 istnieje jedynie niezgodność w interpretacji średników w adresach URL. To właśnie owa niezgodność, na której skupiły się doniesienia sprzed tygodnia, pozwala atakującemu na ominięcie oprogramowania filtrującego w celu wysyłania i wykonania kodu na serwerze IIS", możemy przeczytać na blogu.

Aby wspomniany scenariusz doszedł do skutku, serwer IIS musi być skonfigurowany w taki sposób, aby nadane zostały zarówno prawa zapisu, jak i wykonania dla tego samego katalogu. Nie jest to domyślna konfiguracja IIS i jest ona sprzeczna ze wszystkimi opublikowanymi zaleceniami. Serwer IIS skonfigurowany w ten sposób jest z natury podatny na ataki.