La piattaforma ASP.Net è minata da una falla grave ma mitigata da diversi fattori in grado di ridurre notevolmente un pericolo comunque esistente. Le conseguenze possibili, innanzitutto: entrare in un’area protetta senza possederne le credenziali, e tutto ciò tramite un semplice link creato appositamente allo scopo. Certificato il problema per ASP.Net, Microsoft nega invece un coinvolgimento di ASP.
Il problema sorge dall’errata interpretazione di particolari caratteri (nel mirino il codice “%5C”, ovvero “”) tali per cui sia possibile aggirare la Windows Authentication ed entrare su pagine protette con tutte le conseguenze del caso. Nella fattispecie il problema è stato identificato nel processo di “canonicalizzazione” dell’url, ovvero nella traduzione automatica da “../../file.htm” a “c:/dir/file.htm”.
IIS 6.0 risulta immune dal problema in quanto autore di un processo di canonicalizzione completa dell’url in grado di salvaguardare da ogni problema di sorta. Non si può fare invece lo stesso discorso per IIS 5.0, tuttora in pericolo. Si suggerisce pertanto, come temporaneo palliativo, l’installazione di tool quali UrlScan, in grado di porre una pezza al bug in attesa dell’opportuno intervento Microsoft in merito.
A tal proposito gli sviluppatori di Redmond prendono tempo: una apposita pagina è stata predisposta a tal fine, suggerendo le metodologie per risolvere momentaneamente il problema ed annunciando il rilascio dell’update appena ne sarà disponibile un fix sufficientemente qualitativo.