Vulnerabilità Microsoft, si possono bypassare le password dei siti

Un problema del web server IIS nella gestione nei caratteri Unicode consente a un attaccante di accedere alle zone dei server Web normalmente protette da password.



[ZEUS News - www.zeusnews.it - 19-05-2009]

Bug Microsoft II6 caratteri Unicode WebDav passwor

Un bug nella versione 6 di Internet Information Services, il server Web di Microsoft, può garantire a un attaccante l'accesso alle aree di un server normalmente protette da password.

La vulnerabilità riguarda il modo in cui Iis processa i comandi basati sul protocollo WebDav e in particolare i problemi sono nella gestione dei caratteri Unicode.

Stando a quanto rivelato dallo US Computer Emergency Readiness Team, sfruttare il bug su un server vulnerabile è molto semplice. Per esempio, per accedere a un ipotetico file protetto.zip, sito nella cartella protected e teoricamente inaccessibile a chi non conosce la password, sarebbe sufficiente passare al server una stringa di questo tipo GET /..%c0%af/protected/protetto.zip HTTP/1.1 Translate: f Connection: close Host: servername.

Nonostante esistano già testimonianze circa lo sfruttamento della vulnerabilità, l'allarme non dovrebbe essere troppo esteso: solo la versione 6 di Iis è vulnerabile e, di default, WebDav non è abilitato.

Per Secunia il bug è "moderatamente critico"; Microsoft sta investigando sul problema alla ricerca di una soluzione.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (2)


Silent Runner
...E se invece di un attaccante fosse un'ala destra? :roll:
20-5-2009 12:53

mda
un vecchio trucco che funziona ancora ? Leggi tutto
20-5-2009 11:56
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quali sono i prodotti che acquisti di più online?
Abbigliamento
Idee regalo
Libri/riviste
Hardware/software
Biglietti/eventi
Elettronica
Viaggi/turismo
Musica/video
Elettrodomestici
Telefonia/accessori

Mostra i risultati (2311 voti)
Agosto 2025
n. 3974 del 06-08-2025
WhatsApp senza account: arrivano le Guest Chat per comunicare da "anonimi"
n. 3973 del 03-08-2025
La pittura al grafene che sostituisce i caloriferi e consuma il 40% in meno
Luglio 2025
n. 3972 del 31-07-2025
Allora, che cosa si può fare?
n. 3971 del 29-07-2025
Piantedosi propone nuova Autorità per WhatsApp, Telegram e Signal. Messaggistica sotto controllo
n. 3970 del 28-07-2025
Windows XP gira emulato nel browser. Un tuffo nella nostalgia dei primi anni 2000
n. 3969 del 24-07-2025
PosteMobile da Vodafone a TIM: cambio rete nel 2026. 5 milioni di utenti coinvolti
n. 3968 del 23-07-2025
Fratelli d'Italia, stretta sul ''pezzotto'': sanzioni per gli utenti fino a 16.000 euro
n. 3967 del 21-07-2025
Scoprire gli amanti al concerto e licenziarli? In Italia non sarebbe mai potuto succedere
n. 3966 del 19-07-2025
Svelate le specifiche dell'iPhone pieghevole: chip A20, fotocamera da 48 MP e prezzo davvero premium
n. 3965 del 17-07-2025
Compensi per copia privata, la SIAE alza le tariffe. E vuole tassare anche il cloud
n. 3964 del 15-07-2025
ChatGPT in imbarazzo: con un semplice trucco genera chiavi attivazione Windows
n. 3963 del 12-07-2025
La IA di Google "fa calare il traffico" ai siti web: parte la denuncia alla Commissione Europea
n. 3962 del 10-07-2025
Il frigorifero di Samsung che fa a meno del gas: sfrutta l'effetto Peltier
n. 3961 del 09-07-2025
Il pericolo delle eSIM
n. 3960 del 07-07-2025
SPID, l'addio è ufficiale: il governo punta su CIE e IT Wallet
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 7 agosto
2024
Google condannata per monopolio. A rimetterci sarà Mozilla?
2023
Edge scatterà screenshot di ogni pagina visitata
2022
Dell brevetta il portatile con caricabatterie wireless incorporato
2021
L'erogatore di sapone che ti dice per quanto tempo lavarti le mani
2020
Falla nei chip Qualcomm, a rischio centinaia di milioni di smartphone
2019
Lo smartphone senza Android di Huawei arriverà entro la fine dell'anno
2018
Connettore Lightning dell'iPhone: l'UE si prepara a far piazza pulita
2017
Basta un adesivo per confondere i veicoli autonomi
2016
Sì, le chiavette USB lasciate in giro come esca funzionano
2014
Il Comune di Torino abbandona Windows per Linux
2013
Windows, sei applicazioni indispensabili
2012
Onde Wi-Fi per guardare attraverso i muri
2011
Localizzazione veicoli aziendali? Sì, ma con criterio
2009
Un flop l'accordo di solidarietà in Telecom?
2008
Toyota Winglet, voleva essere il Segway
2007
L'iPhone taroccato per funzionare in Europa
2006
Ho in testa solo l'iPod
2005
Il brevetto dei maiali
2004
Il signore dei call center: Alberto Tripi
2003
Multe alla Microsoft dall'UE
2002
Antispam, un decreto inutile
Olimpo Informatico


 
web metrics