Guninski: nuovo problema per Microsoft IE

Il bug hunter bulgaro sostiene di aver trovato un nuovo problema di sicurezza nell'interazione tra Internet Explorer, Internet Information Server ed Exchange 2000, un problema a suo parere molto grave. Microsoft non sembra d'accordo

Web - Nel suo bollettino numero 40, il bug hunter Georgi Guninski sostiene che, in particolari condizioni, l'interazione tra il browser Internet Explorer 5.x, Internet Information Server 5.0 ed Exchange 2000 provoca una potenziale falla nei sistemi di sicurezza che utilizzano questi software Microsoft.

"L'accusa" da parte di Guninski, divenuto famoso con le sue scoperte di bachi su Internet Explorer e Netscape Navigator, č rivolta a IE 5.x. Lė sarebbe il baco che per essere sfruttato richiede l'interazione con IIS 5.0 o Exchange.

Guninski descrive cosė il buco: "Se una pagina web fatta apposta viene visitata da un utente con IE, allora č possibile elencare le directory dei server IIS 5.0 a cui l'utente ha accesso. In certe circostanze č anche possibile leggere l'email dell'utente o le sue cartelline se archiviate su Exchange 2000 server web storage, che sfrutta IIS 5.0. Ed č possibile creare (o probabilmente modificare) i file su Exchange".
Guninski, che sa bene quanto ogni sua scoperta ottenga l'attenzione dei media di tutto il mondo, spiega di non avere molto tempo a disposizione in questo momento per illustrare nel dettaglio un problema che definisce complesso. Comunque evidenzia come la questione sembra risiedere nella funzione "Microsoft OLE DB Provider for Internet Publishing" (MSDAIPP.DSO).

L'esperto ha spiegato che questa si offre come interfaccia di scripting per accedere e manipolare oggetti su IIS 5.0 o web storage. "Il problema - evidenzia Guninski - č che consente di connettersi anche ad altri server e non solo ai server dai quali la pagina HTML viene caricata".
TAG: microsoft
7 Commenti alla Notizia Guninski: nuovo problema per Microsoft IE
Ordina