Microsoft kompaniýasy maý aýynyň "Sişenbe täzelenmeleriň" çäginde CVE-2021-31166 belgili Internet Information Services (IIS) howply ýalňyşlygyny düzetdi. Bu gowşaklyk şu aý düzedilen iň howply meseleleriň biri bolup, gowşaklyk üçin CVSS v3 görkezijisi boýunça 10-dan 9,8 derejesi berildi.

Gowşaklyk Windows ulgamynyň soňky çykan wersiýalarynyň ählisinde goşulan HTTP protokol toplumynyň ýadynda maglumatlara zyýan ýetmegi bilen baglanyşykly bolup durýar. Bu toplum Windows IIS serweri tarapyndan ulanylýar. Bu serwer işläp duran ýagdaýynda, oňa ýörite döredilen paketi ibermek arkaly operasion ulgamynyň ýadro derejesinde zyýanly kod ýerine ýetirmek mümkin. Şeýle hem, Microsoft kompaniýasy gowşaklygyň gurçuk programmanyň mümkinçiliginiň bardygyny, ýagny serwerden serwere özbaşdak ýaýrap bilýän zyýanly programma üpjünçiligini döretmek üçin ulanyp bolýandygy barada duýdurdy.

Geçen hepdäň dynç günleri, howpsuzlyk boýunça gözlegçi Aksel Suşe CVE-2021-31166 üçin PoC eksploity köpçülige çykardy. Eksploityň mümkinçilikleri emeli usulda çäklendirilen, ýagny gurçuk programmasyny döretmek ukyby ýok, diňe IIS serweri bilen işleýän düzedişler gurnalmadyk Windows ulgamynyň wersiýalarynda «hyzmat etmekden ýüz öwürmek» (DoS) ýagdaýyna getirmek mümkinçiligi berýär.

Bu gowşaklyk diňe operasion ulgamynyň soňky çykan wersiýalaryna täsir edýär: Windows 10 2004 we 20H2, Windows Server 2004 we 20H2. Microsoft täzelenmeleri gysga wagtyň içinde gurnamagy ýatladýar.

Çeşme: xakep.ru