Buco in FrontPage, server a rischio

Microsoft corregge una grave falla contenuta nelle estensioni di FrontPage, installate di default con IIS, e ha rilasciato versioni aggiornate di Internet Explorer per Mac
Microsoft corregge una grave falla contenuta nelle estensioni di FrontPage, installate di default con IIS, e ha rilasciato versioni aggiornate di Internet Explorer per Mac


Redmond (USA) – Ancora guai per i server Windows. Questa volta la causa è un bug nelle FrontPage Server Extensions (FPSE) 2000/2002 che, secondo Microsoft, può dare l’opportunità ad un aggressore di prendere il controllo del sistema oppure di portare attacchi di tipo denial of service. La falla, classificata come “critical”, viene descritta nel bollettino di sicurezza MS02-053 , da cui è anche possibile scaricare le patch per Windows NT4, 2000 e XP.

Il problema consiste nella presenza di una vulnerabilità nell’interprete SmartHTML integrato nelle FPSE, un componente che provvede a fornire il supporto per le form Web e altri contenuti dinamici creati con FrontPage. Microsoft spiega che nella versione 2002 delle FPSE un aggressore, attraverso l’invio al server di una richiesta confezionata in un certo modo, potrebbe eseguire codice a sua scelta e prendere così il controllo del sistema. Nel caso delle FPSE 2000 è invece possibile sfruttare la falla per innescare un ciclo infinito che prosciuga tutte le risorse della CPU.

Le FPSE vengono installate di default con Internet Information Server (IIS) 4.0, 5.0 e 5.1. Per prevenire questo tipo di vulnerabilità Microsoft suggerisce agli amministratori di sistema di disinstallare le estensioni di FrontPage quando non necessarie o, in alternativa, di utilizzare l’ IIS Lockdown Tool , un piccolo programma che disabilita molte delle funzionalità più pericolose di IIS, fra cui anche l’interprete SmartHTML.

Microsoft ha anche aggiornato Internet Explorer per Mac OS 8.1/9 e Mac OS X rispettivamente alle versioni 5.1.6 e 5.2.2. Questi update correggono alcune vulnerabilità di sicurezza ed altri bachetti, in particolare un problema legato alla validazione dei certificati digitali.

Entrambe le nuove versioni di IE per Mac possono essere scaricate dal sito Mactopia di Microsoft.

A partire dall’inizio dell’anno, periodo in cui Microsoft ha lanciato l’iniziativa per la sicurezza del software nota come Trustworthy Computing , il big di Redmond ha reso pubbliche più di 70 vulnerabilità descritte in 53 advisory.

Link copiato negli appunti

Ti potrebbe interessare

26 09 2002
Link copiato negli appunti