La firme de Redmond a publié un avis de sécurité et donc des investigations en cours au sujet d'une vulnérabilité de sécurité dans Internet Information Services, le logiciel de serveur Web plus communément appelé IIS. Cette vulnérabilité de type élévation de privilège est due à un problème dans la manière dont la fonctionnalité WebDAV pour IIS manipule certaines requêtes HTTP. Le risque que représente une exploitation est l'accès à un espace requérant une authentification via contournement de cette dernière.
Ce risque paraît bien réel puisque le code exploit est disponible sur la Toile. Reste que ladite vulnérabilité n'affecte pas IIS 7.0 et si c'est le cas pour IIS 5.0 et 5.1, Microsoft précise que pour le cas de IIS 6.0, la fonctionnalité WebDAV qui permet à plusieurs utilisateurs d'éditer le contenu d'un dossier Web simultanément ( voir Wikipédia ) n'est pas activée par défaut. Probablement ce qui explique un niveau de dangerosité " modérément critique " attribué par Secunia.
Dans son avis de sécurité, Microsoft donne plusieurs mesures de contournement en précisant la démarche à suivre pour éventuellement désactiver WebDAV ou interdire l'accès au système de fichiers à des utilisateurs anonymes. Autre contournement proposé... migrer vers IIS 7.0.
