本周四,微软安全部门主管克里斯多弗·巴德向媒体表示,经过严密的调查并没有发现IIS(网络信息服务)存在任何重大安全漏洞。
据悉,巴德是在上 周传出IIS曝出远程控制漏洞后所作出的回应。但是调查发现IIS服务中存在一个无法处理URL间隔号的缺陷,不过该缺陷不会允许黑客绕过安全过滤软件向 IIS服务器上传可执行代码。巴德还认为,同一目录下IIS服务的默认配置会阻止潜在的攻击,用户只要按照正常的安全步骤进行操作就不用担心任何问题。
上周,专业漏洞分析公司Secunia的研究人员索罗什·戴利指出,微软IIS服务存在高危漏洞。漏洞的成因是IIS对文件名中含有分号或冒号间隔的解析方式。许多Web应用程序被配置为拒绝上传带有可执行文件,比如ASP(动态服务器主页)。
但是黑客把恶意程序XX.asp伪装成XX.asp..jpg或其他无害的文件,能绕过防火墙等防护设施。
由此可见,按照微软官方的说法,用户只要合理操作就能避免该漏洞造成危害。
进入论坛>>声明:IT商业新闻网登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。文章内容仅供参考。新闻咨询:(010)68023640.推荐阅读
计世咨询总经理曲晓东在接受比特网记者采访时表示,上网本是介于全功能笔记本与手机之间的移动互联网产品,是市场细化的产物,上网本的推出顺应了用户的需求。 盘点2009年PC产业,最火爆的当数上网本了。不论是传统的>>>详细阅读
本文标题:微软:合理操作就可避免IIS零日漏洞
地址:http://www.lgo100.com/a/xie/20111230/196171.html
网友点评
精彩导读
科技快报
品牌展示