吳明宜上周五微軟發佈安全公告,針對其Internet Information Service(IIS)伺服器軟體發佈另一波弱點通報。
上周五微軟發佈安全公告,針對其 Internet Information Service(IIS) 伺服器軟體發佈另一波弱點通報。
一項新的概念驗證攻擊可使駭客取得弱點控制權,而引發阻斷服務 (DOS) 攻擊。微軟表示,受影響的版本包括 IIS 5.0, 5.1, 6.0 及 7.0 。微軟在上一次公告表示「IIS 7.0 (Windows Vista, Windows Server 2008) 不受影響。」
此外,IIS 5.0 用戶如果允許不知名的 FTP 也可能遭殃。
IIS 弱點和 IIS FTP 模組上出現軟體堆疊緩衝溢位 (stack overflow bug) 的臭蟲有關。如果 IIS 允許 FTP,駭客就能自建目錄名稱而發出溢位攻擊。成功的攻擊會允許 LocalSystem 環境下執行程式碼。
微軟建議 IIS 用戶非必要時請關閉 FTP 伺服器,也建議使用者改變組態,不允許自創新目錄,並以適當設定拒絕匿名使用者寫入的權限。
微軟表示將在 9/8,即定期修補程式的發佈日,釋出 5 項「重大」(critical) 安全公告。如果弱點遭到公開,微軟是否有足夠時間測試修補程式將是個疑問。