Un ricercatore di F5 Networks ha scovato un bug in Internet Information Services, che permette di sovraccaricare le Cpu delle macchine con Windows 10 e Windows Server 2016. L’azienda ha rilasciato aggiornamenti cumulativi per risolvere il problema.
Microsoft corre ai ripari per risolvere una vulnerabilità nel proprio software per server. In un bollettino di sicurezza (Adv190005) l’azienda ha descritto un bug riguardante il complesso di servizi Internet Information Services (Iss) che, se sfruttato inviando richieste Http/2 maligne, potrebbe scatenare un’interruzione di servizio oberando fino al 100 per cento la Cpu del sistema. Secondo Microsoft, tutte le appliance con Windows 10 e Windows Server 2016 sono colpite dalla vulnerabilità. L’azienda è riuscita a risolvere il problema prevedendo delle soglie nel numero di parametri di una richiesta Http/2 che una macchina è in grado di gestire.
Le patch sono contenute negli aggiornamenti cumulativi Kb4487006, Kb4487011, Kb4487021 e Kb4487029 rilasciati poche ore fa. La società sottolinea però come le soglie vadano definite dall’amministratore dell’Iis: non sono quindi preimpostate da Microsoft. Il bug è stato scoperto dal ricercatore Gal Goldshtein di F5 Networks.
La scorsa settimana il colosso di Redmond ha rilasciato il Patch Tuesday di febbraio, che ha messo una pezza su 77 falle di varia gravità. La più importante era un baco zero-day che interessava l’ormai datato browser Internet Explorer: la vulnerabilità permetteva a un hacker di testare la presenza di file su disco.