Microsoft Internet Information Services 6（IIS6）の脆弱性情報が公開された。実際に悪用されているとの情報もある。

米US-CERTは5月18日、Microsoft Internet Information Services 6（IIS6）の脆弱性情報が公開され、エクスプロイトコードが出回っていると伝えた。

IIS6の脆弱性情報についてはSANS Internet Storm Centerやセキュリティ企業のSecuniaも報告している。各社の情報を総合すると、脆弱性は、認証が必要なディレクトリのWebDAVリクエストを処理する際のエラーに起因する。

この問題を悪用すると、特定のUnicode文字をURLに付け加えることによってフォルダのアクセス制限をかわすことが可能になり、リモートの攻撃者が重要情報を入手したり、任意のファイルをアップロードすることが可能になる。

脆弱性はIIS6に存在するとされ、Secuniaは完全にパッチを当てたWindows XP SP3上のIIS 5.1でも確認したと報告している。Secuniaの深刻度評価は5段階で中程度の「Moderately critical」となっている。

この問題を突いたエクスプロイトコードが出回り、実際に悪用されているとの情報もあるが、Microsoftの公式パッチはまだ公開されていない。