Web-Seiten möglicherweise gefährdet

Microsoft bestätigt Probleme mit IIS

21.04.2000
FRAMINGHAM (IDG) - Microsoft-Entwickler sollen eine Hintertür in den "Internet Information Server" (IIS) eingebaut haben. Unbefugte könnten dadurch Zugriff auf mit dem Web-Editor "Frontpage" erstellte Sites erhalten.

Eine Sprecherin von Microsoft bestätigte, dass Programmierer in eine IIS-Softwarekomponente den Kommentar "Netscape engineers are weenies!" (etwa: NetscapeIngenieure sind Waschlappen!) eingebaut hätten. Es handelt sich dabei um die Datei Dvwssr.dll, eine Dynamic Link Library. Mit IIS 4.0 und Erweiterungen der Web-Design-Software "Frontpage 98" erstellte Seiten seien von dem Problem betroffen. Der Fehler wirke sich auf IIS-Versionen unter Windows 2000 sowie das jüngste Release der in Frontpage 2000 enthaltenen Server-Extensions aus.

Die Unternehmenssprecherin erklärte, das Verhalten der Entwickler richte sich "gegen die Unternehmenspolitik, Kundeninformationen geheim zu halten". Man habe deshalb eine Untersuchung gestartet. Russ Cooper, Herausgeber der Mailing-Liste "NT Bugtraq", bestätigt die Existenz des Text-Strings "!seineew era sreenigne epacsteN" (von hinten zu lesen) in der genannten .dll-Datei und einer weiteren. Es handle sich sich dabei aber keineswegs um ein geheimes Passwort, das den unbefugten Seitenzugriff ermögliche, sondern eine Methode, um vom Client auf dem Server abgefragte Dateinamen für die Übertragung zu verschleiern.

Cooper bestätigt jedoch die Existenz eines anderen Sicherheitsproblems mit der Dvwssr.dll. Die Datei ermöglicht jedem mit Rechten zum Gestalten von Web-Seiten ausgestatteten Anwender, auch auf andere Dateien auf dem Server zuzugreifen. Dieser Fehler habe jedoch nichts mit dem vermeintlichen "Passwort" zu tun. Microsoft empfiehlt als Abhilfe, die in Frage kommende .dll-Datei zu löschen.