微软:合理操作就可避免IIS零日漏洞
来源:赛迪网 作者:佚名
摘要:微软安全部门主管克里斯多弗·巴德向媒体表示,经过严密的调查并没有发现IIS(网络信息服务)存在任何重大安全漏洞。…
内容提示:微软安全部门主管克里斯多弗·巴德向媒体表示,经过严密的调查并没有发现IIS(网络信息服务)存在任何重大安全漏洞。
据悉,巴德是在上周传出IIS曝出远程控制漏洞后所作出的回应。但是调查发现IIS服务中存在一个无法处理URL间隔号的缺陷,不过该缺陷不会允许黑客绕过安全过滤软件向IIS服务器上传可执行代码。
巴德还认为,同一目录下IIS服务的默认配置会阻止潜在的攻击,用户只要按照正常的安全步骤进行操作就不用担心任何问题。
上周,专业漏洞分析公司Secunia的研究人员索罗什·戴利指出,微软IIS服务存在高危漏洞。漏洞的成因是IIS对文件名中含有分号或冒号间隔的解析方式。许多Web应用程序被配置为拒绝上传带有可执行文件,比如ASP(动态服务器主页)。
但是黑客把恶意程序XX.asp伪装成XX.asp..jpg或其他无害的文件,能绕过防火墙等防护设施。
由此可见,按照微软官方的说法,用户只要合理操作就能避免该漏洞造成危害。