Uyarı, Microsoft Commerce Sunucu 2000 ve 2002 kullanan sistem yöneticilerine iletildi. Commerce Server 2000’de 4 açık var. Bunlardan birisi Commerce Server 2002’yi de etkiliyor. Bu açıkların herbirisi kendi başına, hacker’lara sunucuyu ele geçirme şansı veriyor.
Yazılımın her iki versiyonu da şubat ayında yamalanan ISAPI filtreleri ile ilgili. AuthFilter olarak bilinen yazılım ötentikasyon yöntemlerini destekliyor. AuthFilter belli bir tipteki ötentikasyon taleplerini yöneten kodda kontrol edilmemiş bir buffer yaratıyor.
Yapılan uyarıda “bu açığı kullanmayı başaran saldırgan, sunucuda istediği hareketi yapabilir. web sayfalarını değiştirebilir. Hard Diski formatlayabilir. Ya da yerel yönetici grubuna yeni bir kullanıcı ekleyebilir” denildi.
Microsoft tarafından kritik olarak sınıflandırılan diğer bir açık, profil bilgilerini yöneten “Profil Servis Bölümünde”. Bu bölümde de özel tip API talepleri yöneten kodlarda kontrol edilmemiş bir buffer var. Saldırgan Profil Servise sızabilir ve yerel sistem önceliklerini elde edebilir ya da web sitesindeki alanlara özel bir takım veriler girerek sistemi durdurabilir.
Firma diğer 2 hatayı daha hafif tehditler olarak adlandırıyor. Çünkü bu açıkları kullanan saldırganın başarılı olabilmesi için OWC paketinin kurulu olduğu bilgisayardan sisteme girilmesi gerekiyor.
Bu son yamalar, Microsoft’un güvenlik konusunda geçirdiği zor yılın en son adımları. Daha önce de SQL Server, Internet explorer ve NT 4.0-Windows 2000 ve Windows XP’nin Telefon defteri (Remote Access Service – RAS) uygulamasında da açıklar çıkmıştı
