Windows 2000 bug

Hat bankot és három nagyobb PC gyártót érint egy Windows 2000 bug, ami lehetővé teszi a támadók számára a Microsoft Index Serveren tárolt file-ok megtekintését. A szerdán megjelentetett patch két Index Server hibát is javít; ez az alkalmazás a Windows NT 4.0 kiegészítése, de a Windows 2000-ben már alapból be van építve, lehetővé teszi az Active Scripting használatát és a lekérdezésírányítást. A hibát január 17-én fedezte fel a Cerberus biztonsági cég és azonnal jelentették a Microsoftnak.
"Természetesen az lenne a legideálisabb, ha semmilyen érzékeny adatot nem tárolunk webszerverünkön, de ez nagyon nehéz dolog" - mondta David Litchfield, a hiba felfedezője. "Számtalan szerveren vannak kódszavak és felhasználónevek, esetleg temporary fileokban még hitelkártyaszámok is lehetnek. Ezeket rendszeresen törölni kell, de sokszor így is megkaparinthatják a betörők."
A Microsoft minden ilyen helyzetet veszélyesnek tekint, de fontosnak tartják hogy a javítás már megjelent. Ennek ellenére Litchfield vizsgálatai szerint a Windows alapú szerverek többsége veszélyben van, megerősítette, hogy legalább 6 bankot és 3 nagyobb PC gyártót érint az eset. "A probléma, hogy az Index Server be van kapcsolva az alapbeállítás szerint, tehát az emberek többsége nem is tudja hogy létezik, tehát még ha a MS figyelmezteti is őket, nem lesznek tudatában a veszélynek." - mondta Linchfield.
A Microsoft képviselője elismerte ezt, véleménye szerint biztonsági szempontból nézve a nem szabad működtetni használaton kívüli szolgáltatásokat; védekezésül a vásárlók számára nyújtott oktatási programokat és a Windows 2000 egyszerű konfigurálhatóságát említette.
A másik bug révén hálózati információkhoz lehet hozzájutni, de ez a probléma relatíve kisebb, létéről is már hónapok óta tudtak, de a Microsoft csak az utóbbi két hétben kezdett el foglalkozni vele. Időhiány miatt - a Windows 2000 szállítása már megkezdődött - mindkét hiba benne lesz a boltban árult példányokban, kiskereskedelmi árusítása február 17-én kezdődik meg.

Forrás: ZDNet