Redmond (USA) – Ieri Microsoft ha rilasciato una patch cumulativa per il suo server Web Internet Information Server che, oltre a contenere tutti i fix usciti fino ad oggi per IIS 5 e 5.1 e tutti quelli di IIS 4.0 usciti dopo il rilascio del Service Pack 6a per Windows NT, corregge dieci nuove vulnerabilità. Quattro di queste sono classificate come “critiche”, mentre le altre sei sono considerate di moderato o basso rischio.
La più grave affligge IIS 4.0 e 5.0 e consiste in un buffer overrun presente all’interno del meccanismo di “chunked encoding transfer” delle Active Server Pages. Attraverso questa falla, un aggressore potrebbe fermare il servizio di IIS o, nel caso peggiore, eseguire codice arbitrario sul server. Stessi effetti per una seconda vulnerabilità a questa legata che, in questo caso, affligge anche IIS 5.1.
Un altro buffer overrun nel codice che processa le intestazioni HTTP in IIS 4.0, 5.0 e 5.1, può consentire ad un cracker di confezionare un URL HTTP ad hoc che mandi in crash IIS.
La saga dei buffer overrun continua con altri due bug: uno che interessa IIS 4.0, 5.0 e 5.1, ed è contenuto in un controllo di sicurezza del server Web, ed un altro che interessa IIS 4.0 e 5.0, contenuto nelle estensioni HTR ISAPI di IIS. In entrambi i casi un cracker potrebbe mandare in crash il server e, nel secondo caso, Microsoft sostiene possa sussistere la remota possibilità che l’aggressore riesca ad eseguire codice arbitrario sul sistema.
Altre due falle, riguardanti IIS 4.0, 5.0 e 5.1 e contenute nel filtro ISAPI e nel server FTP integrato in IIS, potrebbero essere sfruttate per un attacco di tipo denial of service.
Per finire, la megapatch mette fine ad un trio di vulnerabilità di tipo Cross-Site Scripting (CSS) che affliggono il sistema di Help e alcune pagine di segnalazione di errori o di redirect in IIS 4.0, 5.0 e 5.1. In questo caso, un cracker potrebbe indurre un utente a cliccare un link sul proprio sito Web e, attraverso l’invio di uno script verso un sito IIS di terze parti, farlo recapitare all’utente.
Microsoft sottolinea come molte di queste vulnerabilità vengono del tutto o parzialmente annullate dall’utilizzo di tool di sicurezza come IIS Lockdown e URLScan .
E’ possibile trovare informazioni dettagliate e il link per il download della patch nel bollettino di sicurezza MS02-018 pubblicato da Microsoft.
Una curiosità: ieri il bollettino di Microsoft che arriva per e-mail è stato spedito due volte di seguito a causa del fatto che “il messaggio originale aveva alcuni errori di formattazione”. Ed in effetti, la prima mail era praticamente illeggibile. Errori così banali come una mail formattata male possono dunque essere commessi anche dal primo colosso mondiale del software.