Microsoft udostępnił pierwsze poprawki dotyczące bezpieczeństwa dla długo oczekiwanego systemu Windows 2000, którego oficjalna premiera ma się odbyć 17 lutego br.

Dwa błędy zostały wykryte w oprogramowaniu Microsoft Index Server, które jest mechanizmem wyszukującym wykorzystywanym zarówno przez Windows 2000, jak i NT. Pierwszy błąd może pozwolić nieuprawnionemu użytkownikowi na dostęp do przeglądania - choć nie dodawania, usuwania czy zmieniania - plików znajdujących się na serwerze WWW. Natomiast drugi może pozwolić na odkrycie fizycznej lokalizacji katalogów w serwerze.

Jak twierdzi Microsoft, błędy nie są ze sobą związane, choć oba zostały wykryte w Index Serverze, który jest narzędziem opracowanym w celu umożliwienia użytkownikom pełnotekstowego przeszukiwania zasobów WWW za pośrednictwem przeglądarki internetowej. Jest ono przeznaczone do przeszukiwania dokumentów aplikacji Office, takich jak Word, Excel czy PowerPoint i dokumentów HTML.

Pierwszy błąd, dotyczący tzw. Malformed Hit-Highlighting Argument, pozwala użytkownikowi na wysłanie żądania dostarczenia mu informacji spoza dozwolonego dla niego obszaru. "Jest bardzo prawdopodobne, że ktoś może wykorzystać ten słaby punkt. Zależy to jednak od tego, jaki jest ostateczny cel ataku. Jeżeli ktoś próbuje odnaleźć ważne pliki na serwerze WWW lub przejrzeć kod źródłowy stron asp, może to zrobić" - tłumaczy David Litchfield, analityk w firmie Cerberus Information Security, która wykryła błędy.