在微软InternetInformationServices(IIS)FTP服务安全漏洞信息及攻击程序现身后,微软随后证实了相关漏洞,并表示已着手修补。
微软安全响应中心技术团队表示,这是一个FTP服务的堆积溢出漏洞,若FTP服务器允许未被授权的使用者登入而且可建立一个很长且特制的目录,那么就可能触发该漏洞,安全可以透过开采该漏洞执行程序。
受到该漏洞影响的产品分别是位于Windows2000中的IIS5.0、位于WindowsXP上的IIS5.1、位于Windows2003中的IIS6.0。但位于WindowsVista及WindowsServer2008上的IIS7.0则未受波及。其中,IIS6.0因采用/GS建置所以可在安全执行程序前就侦测到堆积溢出的问题并自我终止,因此被骇风险较低。
微软安全响应团队通信经理AlanWallace指出,虽然微软发现网络上已有详细的攻击程序,但目前尚未接获实际攻击报告。微软正在调查此问题并着手开发安全更新,当更新程序达到一定质量后便会发布。
在更新程序尚未出炉前,微软建议用户可以关闭FTP服务,或是避免利用NTFSACLs建立新的目录,而且也不要让不详的用户透过IIS设计写入数据。
由于该漏洞及相关攻击程序直接在网络上现身,并未知会微软,因此Wallace再度鼓励各界应基于漏洞的责任揭密(responsibledisclosure)原则,直接向软件制造商回报漏洞信息,以让制造商可在使用者曝露于恶意攻击前就释出安全更新。
有别于对IIS漏洞的慎重其事,微软对近日由Sentrigo所揭露的SQLServer漏洞便显得意兴阑珊。数据库安全软件厂商Sentrigo在周三(9/2)指出,SQLServer2000、2005及2008上含有一漏洞,可让具管理员权限的使用者浏览其他用户未加密的密码或是凭证。
Sentrigo说明,这主要是因为使用者登入SQLServer时所使用的密码会储存在内存中,而且直接显示密码文字,要等到系统重新启动才会消失。不过微软认为,如果该漏洞要求必须具备管理者权限才能进行攻击,那么有管理者权限的使用者早就掌控了整个系统,无所谓攻不攻击,因此觉得没有发表更新程序的必要。
|
