Az MS biztonsági rés csak "tűszúrás"

Nyerges Tibor Nyerges Tibor, 2000. április 17. 08:58
A cég visszavonta nyilatkozatát, miszerint a biztonsági rés valóban hátsóajtó. A kezdeti hírek szerint az MS FrontPage-ben található "hátsóajtó" mégsem az, ami.
A szoftveróriás nyilatkozata szerint egyik menedzsere téves kijelentést tett a "Netscape engineers are weenies!" jelszavú réssel kapcsolatban - írja a Reuters. Luisa Vacca sajtószóvivő: "Már rendelkezünk minden információval, és elmondhatjuk, hogy ez valóban sebezhető pont. De valójában igen kicsi rés, és semmi esetre sem hátsóajtó. Csupán apró tűszúrás."

Russ Cooper, a Microsoft szoftverekkel foglalkozó biztonsági oldal, az NTBugTraq vezetője ennek ellenére hangsúlyozta, hogy a weblapokat érintheti a hiba, és felhívta a szolgáltatók figyelmét a javítás szükségességére. Emiatt valószínűleg számos rendszergazda túlórázni fog, de cáfolta a Wall Street Journal tudósításában elmondottakat, miszerint a hátsóajtó révén a támadók könnyen illetéktelenül hozzáférhetnek honlapokhoz.

A biztonsági rés szándékos hátsóajtó helyett csak egy apró bug a dvwssr.dll fileban - ez biztosítja a weblap aktív szerver oldalainak és alkalmazásainak elérhetőségét. A file támogat egy régi és ritkán használt alkalmazást, a Visual Interdev 1.0 szoftvert is; a webmesterek ezzel a hibás linkeket tudják felderíteni. Ennek ellenére, mivel a file az alapinstalláció része, ezért szinte minden telepített gépen megtalálható. "Egy megosztott szerveren áttöri a honlapok közötti falat" - mondta Steve Lipner, a Microsoft biztonsági központjának menedzsere. "De semmit nem láthatsz, ami nincs a rendszergazda által engedélyezve."

A hibás .dll legérdekesebb része, hogy tartalmaz egy a Netscape fejlesztőinek szóló megjegyzést is. Az NTBugTraq vezető Cooper és a Microsoft szerint is ez azonban nem jelszó, hanem csupán egy rejtjel, ezzel kódolják a weblapot megnéző felhasználók címeit.

"Buta dolog volt ide tenni ezt a mondatot. De ha egy szótárat, vagy mondjuk a Sun kódját használjuk a rejtjelezésre, akkor is ugyanoda jutunk." Mindenesetre a Microsoft alkalmazottjának beismerése nem segít a vita eldöntésében.