Het lek komt volgens zijn ontdekker Inge Henriksen alleen voor in Internet Information Server versie 5.1. Versies 5.0 en 6.0 zouden niet gevoelig zijn, zo schrijft de it'er op zijn blog.

Beveiligingsonderzoekers van het French Security Incident Response Team (FrSIRT) classificeren het ontdekte lek als 'moderate risk'. Voor zover bekend is er geen patch beschikbaar.

Het lek ontstaat door de manier waarop de serversoftware omgaat met speciaal geprepareerde http-verzoeken aan een virtuele directory. Als deze directory 'Scripts & Executables'-rechten heeft, kan het lek door aanvallers worden misbruikt.

Microsoft is op 28 januari van het bestaan van het lek op de hoogte gebracht. Volgens Henriksen zal Microsoft het lek pas dichten met de introductie van SP3 voor Windows XP, die naar verluidt eind volgend jaar wordt verwacht.

Bron: Techworld