El investigador Matthew Bergin ha descubierto una vulnerabilidad en el servicio FTP integrado en la versión 7.5 de IIS en Windows 7 haciendo público todos los detalles técnicos y el exploit.
Detalles técnicos:
- El fallo se debe a un desbordamiento de memoria intermedia en la función 'OnSendData'.
- Este fallo podría ser aprovechado por un atacante remoto (sin necesidad de poseer usuario en ese FTP) para causar una denegación de servicio a través de peticiones de usuario especialmente manipuladas.
- Por tratarse de un desbordamiento de memoria intermedia podría llegar a permitir la ejecución de código arbitrario, pero de momento, no ha sido demostrado que pueda ser explotado con dicho fin.
Microsoft incluye el "paquete" IIS, en:
- El servidor web IIS y un servidor FTP que no se instala por defecto.
- La versión 7.5 de IIS se encuentra disponible para Windows 2008 y Windows 7.