Gentili utenti vi informiamo che il team di MyTech si è spostato sul canale Hitech & Scienza di Panorama.it

      non hai uno username? regìstrati   /   recupera la password

apple / google / microsoft
web

Connessioni / Next / Search / Sicurezza / Social

Archivio » 2008 » aprile » martedì 29 »

Microsoft: “Gli attacchi sul Web non dipendono dai nostri bug”

database microsoft server

Scritto da Guido Sintoni

Bookmark and Share

Articoli correlati

Non è colpa nostra“: questa è, in estrema sintesi, la posizione di Microsoft sulle possibili escalation di privilegi che hanno toccato Windows la scorsa settimana e destato preoccupazione in chi usa Windows Server e i software a quest’ultimo collegati - tipicamente il server Web Iis e il database Sql Server - per erogare servizi.

Il responsabile della comunicazione di Microsoft Security Response Center, Bill Sisk, ha infatti scritto: “Non risulta che le vulnerabilità nei server Web e database siano state sfruttate per attaccare centinaia di migliaia di pagine Internet. Le nostre ricerche dimostrano che non ci sono vulnerabilità nuove o non ancora note da sfruttare in tal senso. L’ondata di attacchi non dipende da vulnerabilità in Internet Information Services o Microsoft SQL Server”. Contestualizzando l’affermazione, Microsoft non mette in dubbio che Iis e Sql Server debbano essere corretti, ma nega che vi sia un legame tra questo evento e i ripetuti attacchi basati su script JavaScript maligni che hanno colpito di recente vari siti Web istituzionali, tra cui quello delle Nazioni Unite. Sisk ribadisce infatti il concetto: “Non sono problemi legati a tecnologie Microsoft Iis 6.0, Asp, Asp.Net o Sql“. Ovvero, ai componenti che l’azienda di Redmond utilizza per la costruzione di architetture three-tier comunemente usate per l’erogazione di servizi.

Anche il team di sviluppo di Microsoft IIS ha negato ogni addebito. Bill Staples, product manager di Iis, ha scritto infatti sul forum di supporto al prodotto: “Per gli utenti finali, l’analisi non mostra indicazioni di vulnerabilità sfruttate su Iis, Sql Server, Internet Explorer o qualsiasi altro client Microsoft, e perciò raccomandiamo agli utenti di installare gli ultimi aggiornamenti per proteggersi da questi attacchi“. In molti, tuttavia, hanno ravvisato una discrepanza di fondo: per stessa ammissione di Microsoft le vulnerabilità ci sono, ma non sono state ancora corrette, anche se sono ovviabili con alcuni rimedi suggeriti.

Quindi? Sarebbe un problema del codice (cioè di chi scrive pagine Web non sicure, attaccabili con JavaScript) e non della piattaforma sottostante, che pure palesa qualche crepa di entità ancora da definire. Conclude infatti Sisk: “Abbiamo anche appurato che gli attacchi non sono in alcun modo legati al bollettino Microsoft Security Advisory 951306“. Che in effetti, riveduto e corretto un paio di volte, parla della iniziale privilege escalation: tutto lascia presagire che il prossimo giro di patch di casa Microsoft preveda una patch per il problema.

Commenti   (Inserisci un commento)

Ancora nessun commento.

Effettua il login

« Peer to peer: in arrivo un eMule tutto nuovo

Windows bucato grazie a un bug di QuickTime »

IBM

Il Service Management secondo IBM

Scopri i servizi nell'era delle risorse più intelligenti.
Scarica il WhitePaper sul Service Management

Panorama Economy Made in Italy

Più letti

Più commentati

Ultimi commenti

I Tutorial di Mytech