PC-k millióit teszi védtelenné egy új biztonsági rés

Egy, a Microsoft webszerver szoftverében, valamint az Internet Explorer webböngészőben megtalálható komponens olyan biztonsági rést rejt, amely védtelenné teszi a számítógépeket egy esetleges internetes támadás ellen.

A biztonsági rést, amelynek létezését a Microsoft is megerősítette, a számítógépes biztonsági kérdésekkel foglalkozó Foundstone fedezte fel. A probléma lehetővé teszi a támadóknak, hogy átvegyék egy IIS-alapú (Internet Information Server) webszerver teljes irányítását, e-mail vírust terjesszenek, vagy akár egy, a Code Redhez hasonló féregprogramot készítsenek.

"A hiba több millió rendszert, illetve felhasználót érint" - mondta George Kurtz, a Foundstone vezérigazgatója. "Komoly problémáról van szó" - tette hozzá.

A Foundstone egyébként már korábban felfedezte a problémát, és a Microsofttal közösen dolgozott annak kijavításán.

A biztonsági rés a Windows azon komponensében található, amely lehetővé teszi a webszerver és böngésző szoftverek számára, hogy kapcsolatba lépjenek online adatbázisokkal, és legalább annyi számítógépet érint, mint a Code Red és Nimda férgek terjedését lehetővé tévő hibák, mondta Kurtz. A több, mint 4,1 millió IIS-alapú weboldal mellett a Windows 95, 98, Me, és 2000 felhasználók számítógépei is veszélyeztetettek.

A Microsoft még azon új osztályozási rendszer szerint is kritikusnak ítéli a problémát, amely a rendszeradminisztrátorok dolgának megkönnyítése érdekében csak az igazán veszélyes hibákat illeti ezzel a fokozattal. "Fennáll a veszélye, hogy a hackerek egy féregprogrammal kihasználják a problémát" - mondta Lynn Terwoerds, a Microsoft biztonsági részlegének programmenedzsere. "Ez a hiba tényleg kritikus, és azt akarjuk, hogy a javítást a lehető legtöbben feltelepítsék."

A hiba a Microsoft Data Access Component (MDAC) komponenst alkalmazó IIS webszervereket érinti, de az MDAC legújabb, 2.7-es verziója azonban már mentes a biztonsági réstől. Az IIS Lockdown Tool biztonsági szoftver kivédi a problémát, így az ezt használó IIS szerverek védettek.

A problémát orvosló javítófolt elérhető a Microsoft TechNet weboldaláról.