微软发出对IIS Web服务器上的IIS零日漏洞的警告。如果成功利用，这个漏洞可以提升攻击者的权限，访问敏感数据。

　　微软说绕过漏洞的远程认证存在于WebDAV扩展名中，而WebDAV是用于向IIS Web服务器发布内容的工具的集合。Web服务器没有恰当地对请求URL进行解码。攻击者可以通过创建特制的匿名HHTTP请求访问一个位置来实现对漏洞的利用。微软说代表性的是黑客请求认证。

　　受影响的是微软IIS5.0-6.0的版本。微软说还没有发现存在对这个漏洞的攻击。三是U.S. Computer Emergency Response Team周一发布了公告，说已经知道了攻击代码和对漏洞的活跃攻击。

　　作为一个工作区，用户可以禁用WebDAV功能。微软说，用户可以拒绝匿名用户帐户的系统访问控制列表，或者使用NTFS访问控制列表来控制对服务器资源的访问。

　　微软的安全响应通讯领导Christopher Budd说：“微软奖采取合适的措施来保护用户，这将包括通过我们每月的安全更新发布程序提供一个解决方案，或者非常规的安全更逊，而这将取决于用户的需要。”

　　漏洞是由安全研究人员Nikolaos Rangos发现的。他把细节发布在Full Disclosure安全邮件发送清单中。在Rangos的IIS公告中，他说漏洞使攻击者绕过密码保护文件夹，并可以在密码保护的WebDAV文件夹中上传或者下载文件。

　　在971492安全公告中，微软忽视了漏洞的严重性，解释说这些安全功能必须要绕过才能成功地利用漏洞。

　　微软说攻击者不能越过对匿名用户帐户的访问层级，因为IIS文件系统可以验证文件是否可以被特定用户访问。另外，匿名用户帐户只能有读的权限。微软说WebDAV在默认设置中没有激活，也就是很多企业中可能不会使用到它。

　　Danish vulnerability clearinghouse Secunia给这个漏洞的评定是中度严重。