Redmond (USA) – Microsoft ha rilasciato una patch con la quale ha chiuso un buco di sicurezza in Windows2000 che in determinate circostanze avrebbe potuto fornire a non autorizzati i nomi utente e le password di sistema.
La patch va a sanare un bug del client Telnet di Win2000. Il problema sta nella funzionalità che risparmia all’utente di doversi loggare per ogni sessione Telnet fornendo automaticamente al sistema ID e password in forma crittata.
Qualora qualcuno venisse in possesso dei dati crittati non avrebbe problemi ad utilizzare un “password cracker” per entrare nel sistema via Telnet. Per sottrarre le info crittate, un aggressore potrebbe utilizzare link nascosti in una pagina Web o in una email studiati per lanciare il programma Telnet sul computer della propria vittima, così da far “partire” i dati da rubare.
La patch consiste in un avviso che chiede all’utente se intende procedere con l’operazione di invio della password al server. In questo modo l’utente sarà protetto da invii non voluti e, quindi, da attacchi di questo tipo. L’alternativa all’installazione della patch è disabilitare la funzionalità di log automatico via Telnet.