Luka w bezpieczeństwie i obraźliwy komentarz w Internet Information Server 4.0

Luka w bezpieczeństwie IIS 4.0 powoduje, że hakerzy mogą w prosty sposób uzyskać dostęp do stron WWW wykorzystujących rozszerzenia FrontPage98.

Microsoft ujawnił, że w jego oprogramowaniu Internet Information Server (IIS) zamieszczono obraźliwy dla pracowników Netscape komentarz. Ponadto oprogramowanie to zawiera błędy, które mogą mieć wpływ na bezpieczeństwo stron WWW stworzonych przy użyciu programu FrontPage.

Rzeczniczka firmy potwierdziła, że programiści Microsoftu wpisali do pliku .dll zdanie "Netscape engineers are weenies!" (w wolnym tłumaczeniu - "Programiści Netscape to cieniasy!"), obrażające pracowników konkurencyjnej firmy Netscape Communications. Dodała jednak, że działanie takie jest sprzeczne z polityką firmy, która nie ma w zwyczaju zamieszczać żadnych dodatkowych informacji w swoich produktach. "Microsoft wszczął już wewnętrzne dochodzenie w tej sprawie" - podsumowała pani rzecznik.

Z kolei wyrwa w bezpieczeństwie dotyczy stron tworzonych przy wykorzystaniu IIS w wersji 4.0 z rozszerzeniami pochodzącymi z FrontPage 98, programu do tworzenia stron WWW. Hakerzy znający tę lukę mogą dostać się do dowolnej strony WWW wykorzystującej rozszerzenia FrontPage 98. Jednakże aby z niej skorzystać, haker musi posiadać prawo do modyfikacji jednej ze stron na danym serwerze WWW. Następnie po stworzeniu odpowiedniego skryptu może uzyskać prawa do modyfikacji innych plików z tego serwera.

Jak twierdzi Russ Cooper, twórca uznanej listy mailingowej NTBugtraq, związanej z bezpieczeństwem systemu Microsoftu, odkryte zdanie nie jest hasłem umożliwiającym wejście tzw. tylną furtką do wybranych serwisów WWW - jak podaje większość serwisów informacyjnych. Jego zdaniem, tekst "!seineew era sreenigne epacsteN", który można przeczytać od tyłu, został wpisany do pliku dvwssr.dll, który już wcześniej zawierał błędy. Plik ten wykorzystywany jest do umożliwienia dostępu do strony WWW osobom uprawnionym do jej modyfikacji. "Każdy, kto ma prawa do uruchomienia tego pliku .dll, może uzyskać prosty dostęp i możliwość bezpośredniej modyfikacji innych stron WWW" - twierdzi R. Cooper.

Microsoft do chwili opracowania odpowiedniej poprawki zaleca użytkownikom usunięcie pliku dvwssr.dll z katalogów z oprogramowaniem IIS, zawierającym rozszerzenia FrontPage 98.

Obraźliwa treść znajduje się również w pliku .dll znajdującym się w katalogu \Program Files\Common Files\Microsoft Shared\MSDesigners98\mtd2lv.dll, będącym komponentem narzędzia Visual Interdev Web po stronie klienta. R. Cooper dodaje też, że ciąg znaków został wprowadzony do programu już w roku 1995, a więc nie podczas zaostrzenia konfliktu o dominację na rynku przeglądarek między Netscape a Microsoftem.