Angreifer können IIS-webserver Schadcode unterschieben und damit web-pages kompromitieren und bspw. für cross-site-scripting-Angriffe vorbereiten. MS hat die Lücke nun bestätigt.

Jedoch muß der Angreifer einen Nutzeraccount auf dem webserver besitzen und Schreibrechte in seinem Account.

siehe: http://www.heise.de/newsticker/meldung/Microsoft-bestaetigt-IIS-Luecke-893326.html