Afgelopen week publiceerde security-onderzoeker Soroush Dalili een naar eigen zeggen zeer kritiek lek in IIS 6.0. Doordat die webserver ook puntkomma's accepteert en alleen checkt op de laatste bestandsextensie, kunnen hackers kwaadaardige code via de webserver uploaden. Zij maskeren dan een executable als een onschuldig passief bestand. Zo zou bijvoorbeeld een upload genaamd 'aanvalscode.asp;jpg' als jpg worden geaccepteerd maar toch code kunnen uitvoeren.

Alleen inconsistentie

Microsoft reageerde in eerste instantie sceptisch op de claim. Het zegt nu na nader onderzoek dat het feitelijk geen securitykwestie is, maar alleen een inconsistentie in IIS 6.0. De puntkommmabug werkt alleen in een extreem onveilige configuratie, waarin zowel de 'schrijf' als 'execute' privileges op dezelfde directory staan. Volgens Redmond vormt deze onveilige configuratie zelf wel een serieus beveiligingsrisico, dat dan ook indruist tegen de adviezen van het bedrijf.

Volgens het IIS-team is de puntkommabug dan ook slechts "een functionaliteitskwestie, maar geen security issue". Die conclusie is opmerkelijk, omdat het puntkommalek in het reeds onveilige scenario wel degelijk een extra kwetsbaarheid betekent.

Geen patch

De softwaremaker evalueert nog of het de inconsistentie in IIS 6 zal wegpoetsen, maar het zal dus geen noodpatch uitbrengen voor de bij Windows Server meegeleverde webserver.