T.S.
微軟 IIS 的 FTP 服務含有安全漏洞,US-CERT 建議採取相關措施因應。
US-CERT 發出警告,證實微軟 IIS 5.0 與 6.0 的檔案傳輸協定 (File Transfer Protocol, FTP) 服務含有安全漏洞,並已有針對該漏洞的攻擊程式現身。
US-CERT 於週一時指出,微軟公司 (Microsoft) 的 IIS(Internet Information Service)FTP 服務已受到影響,駭客將可自遠端任意執行各種程式。
這次的漏洞係出現在 IIS 中所使用的 FTP 軟體,在某些情況下可讓駭客完全掌控該伺服器。不過,這個漏洞只有在特定條件下才會被攻擊,如必須啟動 FTP 功能,並有一個可寫入的文件匣。因此,US-CERT 建議 IT 管理人員關閉匿名寫入 FTP 伺服器的功能以降低風險。
到底這個安全漏洞到底可能帶來多大的影響,目前仍然狀況未明。由於尚在概念驗證碼分析階段,賽門鐵克 (Symantec) 研究人員對此並沒有直接回應。
微軟公司也指出,目前仍在調查階段。微軟發言人透過電子郵件發表聲明指出,該公司現已對此漏洞進行調查,迄今仍未接獲任何嘗試針對此漏洞展開攻擊之相關報告。
微軟表示,未來將會視情況發展,待有更清楚的結果出來之後,便會告知消費者如何自我保謢。該公司指出,一旦調查完成,便會清楚讓消費者知道應該執行哪些步驟,才能確實做好安全防護。
負責開放原始碼威脅簽核的緊急威脅安全小組 (Emerging Threats),係由美國陸軍研究所 (Army Research Offic) 與國家科學基金會 (National Science Foundation) 出資成立,該單位已宣佈簽核此一概念認證碼。
微軟公司每月第二週都會固定發表資安通告。而在預計於下週二 9 月 8 日發出的佈告中,應該將會對這次的安全漏洞發表一些初步資訊。
目前看來,似乎業界都在關注,微軟是否能夠及時在其 9 月份公佈修補程式的時候,趕得及修補此一安全漏洞。