Sono state individuate vulnerabilità relative ai server dell'infrastruttura IT di Microsoft, a fare la scoperta la società di sicurezza italiana Swascan. Se sfruttate, queste vulnerabilità "avrebbero potuto facilmente influire sull'integrità, la riservatezza e la disponibilità dei dati trattati, gestiti ed archiviati dai sistemi server interessati", spiega Swascan che dopo la scoperta ha contattato il Team di Sicurezza di Microsoft Usa.
Ecco le debolezze individuate:
CWE - 119: Ad ogni processo e applicativo informatico viene assegnato un puntatore con una relativa area di memoria del sistema su cui deve operare. Questa vulnerabilità potrebbe consentire ad un malintenzionato di modificare il puntatore dirottando il processo informatico ad uno spazio di memoria manomesso con un malware, oppure causare il blocco del sistema o la sottrazione di informazioni sensibili.
CWE - 94: è una vulnerabilità relativa alla "code injection". Praticamente questa criticità permette ad un terzo di "inserire" linee di codice all'interno di un altro software o applicativo. Spesso il codice iniettato è malevolo e permette all'attaccante di prendere il possesso del dispositivo, applicativo con privilegi di amministratore.
CWE-200: è una vulnerabilità che permette ad una terza parte, senza alcuna autorizzazione, di accedere ad una serie di Informazioni relative alla configurazione del sistema o dati presenti nel sistema. Di fatto è un errore di configurazione del sistema stesso.
La società sottolinea l'attenzione di Microsoft ai risultati dei test che ha portato ad una "seria collaborazione", "questo caso - aggiunge - riflette perfettamente la necessità di collaborazione tra le società di sicurezza informatica ed i fornitori di Software".
