I server dell’infrastruttura It di Microsoft hanno un problema. Anzi, cinque. I bug sono stati scoperti dalla società di cybersicurezza italiana Swascan e segnalati al colosso di Redmond. Come si legge nel blog post dell’azienda, i dettagli tecnici non sono stati volutamente svelati. Delle cinque vulnerabilità emerse in fase di revisione, tre sono di alto livello mentre le altre due sono medie e basse. Se sfruttati correttamente, i bug avrebbero potuto facilmente influire sull’integrità, la disponibilità e la riservatezza dei sistemi colpiti. La prima falla (Cwe – 119) può causare operazioni di lettura o scrittura su allocazioni di memoria che possono essere associate ad altre variabili, strutture dati o dati di programma interni. Un hacker potrebbe essere così in grado di eseguire codice arbitrario, alterare il flusso di controllo previsto, leggere informazioni sensibili o causare il crash del sistema.

Anche la falla Cwe – 94 potrebbe scatenare un’esecuzione arbitraria di codice: “il software vulnerabile costruisce tutto o parte di un segmento di codice utilizzando input influenzati esternamente da un componente a monte, ma non neutralizza (o lo fa in modo errato) elementi speciali che potrebbero modificare la sintassi o il comportamento del segmento di codice previsto”, ha scritto Swascan.

“Quando il software permette all’input di un utente di contenere la sintassi del codice, potrebbe essere possibile per un potenziale aggressore creare il codice in modo tale da alterare il flusso di controllo previsto del software”. Infine, il baco Cwe – 200 porta all’esposizione di informazioni sensibili. A quanto pare la collaborazione fra Swascan e Microsoft è stata fruttuosa e i team di sicurezza di Redmond si sono messi subito al lavoro per risolvere la situazione.