找回密码
 注册创意安天

微软:合理操作就可避免IIS零日漏洞

[复制链接]
发表于 2009-12-31 16:32 | 显示全部楼层 |阅读模式
本周四,微软安全部门主管克里斯多弗·巴德向媒体表示,经过严密的调查并没有发现IIS(网络信息服务)存在任何重大安全漏洞。
据悉,巴德是在上 周传出IIS曝出远程控制漏洞后所作出的回应。但是调查发现IIS服务中存在一个无法处理URL间隔号的缺陷,不过该缺陷不会允许黑客绕过安全过滤软件向 IIS服务器上传可执行代码。巴德还认为,同一目录下IIS服务的默认配置会阻止潜在的攻击,用户只要按照正常的安全步骤进行操作就不用担心任何问题。

上周,专业漏洞分析公司Secunia的研究人员索罗什·戴利指出,微软IIS服务存在高危漏洞。漏洞的成因是IIS对文件名中含有分号或冒号间隔的解析方式。许多Web应用程序被配置为拒绝上传带有可执行文件,比如ASP(动态服务器主页)。

但是黑客把恶意程序XX.asp伪装成XX.asp..jpg或其他无害的文件,能绕过防火墙等防护设施。

由此可见,按照微软官方的说法,用户只要合理操作就能避免该漏洞造成危害。
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 00:51

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表