El problema afecta a la versión 7 de IIS. La versión más reciente, IIS 7.5, no presenta la vulnerabilidad.
El agujero de seguridad surge debido a la forma en que IIS gestiona el componente ;. Así, programas malignos y procesos pueden ser camuflados como archivos no ejecutables.
El resultado es que un intruso puede, al menos en teoría, asumir el control de sitios web, y posteriormente instalar y ejecutar funciones malignas en los PC de quienes visitan los sitios intervenidos.
Microsoft está investigando el problema, y se espera que publique un parche dentro de las próximas horas.
El problema fue detectado inicialmente por el experto en seguridad informática Sourosh Dalili, que lo describe en este documento (archivo PDF).
Fuente: Secunia
