Redmond (USA) – L’ordine dal quartiere generale Microsoft è “niente allarmismi”. Perché le debolezze nei sistemi di sicurezza riscontrate in Internet Explorer e SQL Server sono considerate “minori”.
Per quanto riguarda il browser, Microsoft ha fatto sapere che dal prossimo primo gennaio alcuni utenti Macintosh che sfruttano la versione 4.5 del browser potrebbero incorrere in problemi se utilizzano i certificati digitali che sono programmati per scadere alla fine di dicembre. Un problema per chi ne fa uso per lo shopping online, ma pare che presto sul suo sito Microsoft metterà a disposizione un patch. Si tratta in realtà di un problema che potrebbero riscontrare anche utenti di vecchie versioni di Netscape Navigator.
Un segnale in questo senso è arrivato nelle scorse ore dalla Bank of America, che ha annunciato che i suoi servizi online non saranno più accessibili dal prossimo 17 dicembre dagli utenti di Navigator 4.05 o precedenti ed Explorer 4.01 e precedenti, proprio per lo scadere dei certificati digitali, utilizzati per garantire l’identità della persona nel corso delle transazioni elettroniche.
Oltre ai problemi con il browser, Microsoft ha confermato un buco di sicurezza in SQL Server, considerato di poco rilievo dal programmatore che l’ha scoperto ma che è bene conoscere per ottimizzare i sistemi di sicurezza. Stando a Blake Coverett, che in un articolo su NTSecurity annunciava il bug, “non è un problema importante ma è qualcosa che va documentato. I sistemi non saranno mai assolutamente sicuri ma si può fare in modo che sia più difficile entrarci dentro senza autorizzazione”.
Il problema risiede nella versione di SQL Server 7.0 rilasciata quest’anno, una versione che può rivelarsi un problema quando la 7.0 viene linkata in remoto a server con database basati su altre versioni di SQL Server. Le procedure di login e le password sono infatti registrate in una tabella chiamata “sysxlogins” e crittata con una funzione, encrypt ( ), che presenta la debolezza. L’algoritmo di crittazione pare possa essere infatti facilmente scoperto, “senza operazioni di reverse engineering” ha sottolineato Coverett.
Uno dei manager di prodotto SQL, Barry Goffe, ha però affermato a PCWeek che la vulnerabilità del sistema è da escludere fino a quando l’account di accesso dell’amministratore di sistema è ben protetto: “in quel caso solo lui o lei può trovare un modo per trovare le password utilizzate in origine”. Ad ogni modo entro la prossima estate dovrebbe arrivare la nuova versione di SQL Server chwe, secondo Goffe, risolverà il problema.
Ti potrebbe interessare
13 dic 1999