Microsoft conferma una grave vulnerabilità in IIS

di Gianluca Rini

scritto il

È stata confermata dalla stessa Microsoft la vulnerabilità di cui si era parlato qualche giorno fa riguardante Internet Information Server (IIS). Il problema riguarda le versioni 5.0, 5.1 e 6.0 del Web server.

Microsoft ha diffuso un comunicato in cui viene descritto il bug in questione, anche se non è ancora chiaro quando verrà risolto con il rilascio di un aggiornamento di sicurezza. Sicuramente, affermano gli sviluppatori Microsoft, una patch verrà immediatamente rilasciata al termine delle analisi approfondite sul problema.

Il bug è presente in WebDAV e consente ad un malintenzionato, mentre vengono decodificati URL che contengono caratteri di tipo Unicode, di oltrepassare le funzioni di autenticazione e di accedere a file e cartelle protette in modo completamente anonimo.

Comunque, afferma Microsoft, il problema non si presenta se WebDAV è disattivato e nel report viene sottolineato che il bug non è presente in IIS 7.0.

Fino a quando il problema non sarà del tutto eliminato il consiglio degli sviluppatori è quello di disabilitare WebDAV o di impostare le opzioni in modo che gli utenti anonimi non possano accedere.