Pittsburgh (USA) – Non si può dire che gli esperti del CERT (Computer Emergency Response Team) e Microsoft vadano d’amore e d’accordo: qualcuno sarcasticamente sostiene che, semplicemente, hanno due visioni del mondo contrapposte.
Questa volta sulla graticola del CERT è finita una patch recentemente rilasciata da Microsoft con l’intenzione di mettere fine ad un buco di sicurezza trovato nel sistema di Windows Help installato con Internet Explorer. In pratica grazie a questo bug, e sotto certe condizioni, un hacker potrebbe essere in grado di eseguire, da una locazione remota, dei file di help maliziosi sul server che gli garantirebbero l’accesso totale al sistema.
Secondo il CERT, la patch con cui Microsoft avrebbe risolto il problema in realtà lascia aperte ancora alcune altre strade che, sebbene più complesse da percorrere, per certi siti continuano a rappresentare vulnerabilità inaccettabili.
Microsoft replica sostenendo che la sua patch fa esattamente quello che deve fare: limita l’esecuzione dei file di help ai soli amministratori locali, bloccando qualsiasi altro accesso da remoto. Sempre secondo la casa di Gates basterà applicare le regole di sicurezza di base per prevenire incidenti.
Chi riveste il ruolo di amministratore di sistema farà comunque meglio a dare un’occhiata all’avviso del CERT e alle istruzioni su come eliminare totalmente ogni rischio residuo.
Ti potrebbe interessare
22 giu 2000