Redmond (USA) – A due settimane dalla scoperta di una delle falle di sicurezza più gravi che abbiano mai interessato Internet Information Server 5 e Windows 2000, Microsoft rilascia ora una patch che mette fine ad un altro buco che affligge IIS 4 e 5.
La vulnerabilità, che può essere sfruttata sia sotto Windows NT sia sotto Windows 2000, potrebbe, secondo quanto riportato da Associated Press, “consentire ad un hacker di guadagnare il controllo di un Web server aziendale nel giro di pochi minuti”.
Un cracker a conoscenza di questa falla può infatti lanciare dei file eseguibili attraverso delle direttive illegali che possono venire nascoste all’interno di un URL contenente valori esadecimali di “escape”: un codice di questo genere molto comune è, ad esempio, “%20”, che codifica uno spazio bianco. Attraverso un bug presente nel motore di decodifica di IIS, un cracker può raggiungere, attraverso un URL “illegale”, file eseguibili che si trovano in aree del sito Web normalmente non accessibili dal browser.
Il CERT sostiene che anche questa falla, sebbene meno grave di quella precedente, è molto facile da sfruttare da parte di malintenzionati e dovrebbe dunque essere immediatamente patchata. Alcuni esperti hanno però aggiunto che, per tenersi alla lontana da vulnerabilità di questo genere, basta attenersi a politiche di sicurezza basilari, come quella di non lasciare alla portata dell’account per l’accesso al Web script e programmi che possano essere utilizzati per compromettere il sistema.
Le patch rilasciate da Microsoft sono due: una per IIS4 ed una per IIS 5 .