A Microsoft confirmou uma falha 'dia zero' no Internet Information Services (IIS), o software servidor web da empresa, usado por prestadores de serviços de internet para abrigar sites que usam tecnologias Microsoft. Um código para tirar proveito da vulnerabilidade já foi publicado, e não há correção, mas nem todos os sites podem ser atacados – o invasor precisa ter acesso FTP ao site e ter permissão para criar uma pasta.O File Transfer Protocol (FTP) é usado para transmitir arquivos para espaços web. Quem mantém sites na internet normalmente envia os arquivos por meio deste protocolo.
Em risco de ataque estão as empresas de hospedagem – como são chamados os provedores que permitem a criação de sites na internet. Um criminoso pode criar uma conta maliciosa e tomar o controle do servidor inteiro, atingindo sites de outros clientes, pois normalmente um mesmo servidor é responsável por dezenas ou centenas de sites. Internautas podem ser afetados ao visitarem as páginas que forem comprometidas para disseminar cavalos de troia.
Servidores baseados no Windows Server 2008 ou Windows Vista não estão risco. Já o Windows Server 2003 tem um risco reduzido. Segundo a Microsoft, embora a vulnerabilidade exista, ela ainda não foi explorada com sucesso nesse sistema. Ainda de acordo com a empresa, não se sabe de nenhum ataque realizado com base nessa brecha.
Atualizações de segurança para todos os produtos da Microsoft são lançados na segunda terça-feira útil do mês que, em setembro, será nesta próxima terça (8). Não se sabe, até o fechamento da coluna, se uma correção estará disponível já nessa data, no entanto, mas, em alguns casos mais graves, a empresa decide lançar uma atualização de emergência, fora do 'calendário'. Por enquanto, a Microsoft publicou algumas soluções temporárias.
Fonte: Altieres Rohr
Nenhum comentário:
Postar um comentário