Kolejne błędy Microsoftu

Georgi Guninski – znany tropiciel błędów w oprogramowaniu Microsoftu poinformował niedawno o swym najnowszym odkryciu. Tym razem dziura znajduje się w sposobie komunikacji między przeglądarką Internet Explorer 5 a serwerem IIS (Internet Information Server) oraz Exchange 2000. Wykorzystujący ją agresor może uzyskać dostęp do serwerów przechowujących witryny internetowe oraz pocztę elektroniczną.

Odkryty przez Bułgara błąd znajduje się w narzędziu OLE DB, ułatwiającym publikowanie informacji w Sieci. Udostępnia ono interfejs dla języka skryptowego, umożliwiającego m.in. dokonywanie zmian na serwerze. Aby ofiara ataku przeprowadzonego tą drogą mogła udostępnić osobom z zewnątrz zawartość lokalnych serwerów, musiałaby odwiedzić odpowiednio przygotowaną witrynę internetową. Zdaniem Georgia, jedynym obecnie sposobem na zabezpieczenie się przed podobnymi atakami przez Sieć jest wyłączenie w przeglądarce funkcji Active Scripting.

Przedstawiciele Microsoftu uznali działania Guninskiego za nieodpowiedzialne – ich zdaniem nie ogłasza się podobnych informacji bez wcześniejszego powiadomienia producenta oprogramowania. Tropiciel błędów odpiera zarzuty twierdząc, że wysyłał Microsoftowi ostrzeżenia, jednak w odpowiedzi otrzymał informację, że odkryte przez niego błędy nie stwarzają poważnego zagrożenia.