Impatto alto
La feature denominata “Universal Plug and Play” (UPnP) è stata creata per consentire ai computer un’autodiscovery dei dispositivi di vario genere, con particolare riferimento a quelli (network-based). I sistemi operativi Windows ME e XP includono il supporto nativo al UPnP. Windows 98 e 98SE non lo includono ma UPnP può essere installato con un workaround, utilizzando Internet Connection Sharing client, venduto con Windows XP.
Allo stato attuale sarebbero presenti due gravi vulnerabilità. La prima, di tipo buffer overrun, consentirebbe ad un attacker, in presenza di particolari situazioni, di eseguire codice remoto sulla macchina target; La seconda è sempre correlata a UPnP e consentirebbe varie tipologie di Denial of Service. Entrambe le vulnerabilità sono legate all’esecuzione della direttiva di basso livello NOTIFY. Microsoft ha rilasciato la patch al problema, relativa ai seguenti OS:
Microsoft Windows 98
Microsoft Windows 98SE
Microsoft Windows ME
Microsoft Windows XP
La vulnerabilità è grave a tal punto da aver suggerito l’immediato aggiornamento di tutti i sistemi vulnerabili.
