微软:合理操作就可避免IIS零日漏洞

日期: 2010-01-03 来源:TechTarget中国

  上周,微软安全部门主管克里斯多弗·巴德向媒体表示,经过严密的调查并没有发现IIS(网络信息服务)存在任何重大安全漏洞。  

  据悉,巴德是在上周传出IIS曝出远程控制漏洞后所作出的回应。但是调查发现IIS服务中存在一个无法处理URL间隔号的缺陷,不过该缺陷不会允许黑客绕过安全过滤软件向 IIS服务器上传可执行代码。巴德还认为,同一目录下IIS服务的默认配置会阻止潜在的攻击,用户只要按照正常的安全步骤进行操作就不用担心任何问题。  

  上周,专业漏洞分析公司Secunia的研究人员索罗什·戴利指出,微软IIS服务存在高危漏洞。漏洞的成因是IIS对文件名中含有分号或冒号间隔的解析方式。许多Web应用程序被配置为拒绝上传带有可执行文件,比如ASP(动态服务器主页)。  

  但是黑客把恶意程序XX.asp伪装成XX.asp..jpg或其他无害的文件,能绕过防火墙等防护设施。  

  由此可见,按照微软官方的说法,用户只要合理操作就能避免该漏洞造成危害。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐