Microsoft onderzoekt een zero-day beveiligingslek in Internet Information Services FTP 7.5, die standaard met Windows 7 en Server 2008 wordt meegeleverd. Via de kwetsbaarheid kan een aanvaller een Denial of Service veroorzaken. Het overnemen van systemen is volgens Microsoft "onwaarschijnlijk". Het probleem doet zich voor als de FTP-server Telnet IAC (Interpret As Command) karakters in de FTP respons probeert te encoderen. Door een fout in het verwerken ontstaat er uiteindelijk een buffer overrun. De aanvaller kan echter niet bepalen welke data wordt overschreven.
Volgens Nazim Lala, IIS Security Program Manager, wordt de FTP service 7.5 ook beschermd door Data Execution Prevention (DEP). "De combinatie van deze eigenschappen maakt het lastig om succesvol een heap spray of gedeeltelijke functie pointer override aanval uit te voeren. Vanwege de aard van de overrun, zal het waarschijnlijke resultaat alleen een denial of service en niet het uitvoeren van code zijn."
Verder ontdekte Microsoft dat het lek alleen de IIS FTP Service treft en geen risico voor de IIS Web Services vormt. Daarnaast is de IIS FTP Service standaard niet geïnstalleerd. Het Internet Storm Center adviseert gebruikers om FTP-diensten die aan het internet hangen te beperken, het gebruik van firewalls om toegang tot de server te beperken en het configureren van de 'perimeter devices' om op geheugenaanvallen te controleren.
Deze posting is gelocked. Reageren is niet meer mogelijk.