Uma falha no interpretador SmartHTML do FrontPage Server Extensions (FPSE) permite que um invasor execute código malicioso ou inicie um ataque DoS, alertou um boletim de segurança da Microsoft.

A brecha afeta o FrontPage Server Extensions 2000 e o FrontPage Server Extensions 2002. Suporte técnico para versões anteriores do software não é mais oferecido, portanto não se sabe se as vulnerabilidades as atingem, afirmou a desenvolvedora.

A Microsoft classificou a falha como crítica para servidores Internet, moderada para servidores de intranets e nenhuma ameaça para sistemas-cliente. A empresa sugeriu em seu site que os administradores instalem a correção fornecida ou se certifiquem de que o interpretador SmartHTML não fique disponível no servidor, usando uma ferramenta chamada IIS Lockdown Tool. O FPSE é instalado automaticamente no IIS nas versões 4.0, 5.0 e 5.1 e pode ser desinstalado manualmente.

A vulnerabilidade é causada por uma falha no interpretador SmartHTML, que pode consumir todo o poder de processamento disponível no servidor Web que usa o FrontPage Server Extensions 2000. O bug age diferente no FrontPage Server Extensions 2002, resultando em um buffer overrun se o servidor recebe um pedido para um tipo particular de arquivo Web com alguns parâmetros específicos. Isso permite que se execute código malicioso no servidor, alerta a Microsoft.

O FrontPage Server Extensions é um conjunto de ferramentas que pode ser instalado em um site criado com o FrontPage. Os utilitários permitem que pessoal autorizado gerencie o servidor e também acrescente funções usadas freqüentemente pelas páginas Web.

Fonte: IDG Now