Dans un bulletin de sécurité Microsoft confirme l'existence d'une faille critique dans son serveur Internet Information Server (IIS), faille révélée hier

Il s'agit, dans le service FTP, d'un problème potentiel de débordement de tampon (buffer overrun) lors du listage des répertoires. Un nom long et malicieux pouvant permettre l'exécution de code arbitraire.

Microsoft précise qu'IIS 5.0 (Windows 2000 et XP) est affecté pleinement par la faille, IIS 6.0 (Windows Server 2003) l'est également, mais moins, en raison de l'utilisation de l'option de compilation /GS utilisé lors de la production de l'exécutable su serveur. Quant à IIS 7.0, il n'est pas vulnérable.

En attendant la publication d'un correctif, Microsoft vous recommande de désactiver le service FTP de votre serveur, ou, au moins, d'interdire toute opérations d'écriture à un utilisateur anonyme.