微軟警告,在Windows Internet Information Services(IIS)中發現一新漏洞,駭客可趁機擴張權限,並存取伺服器上的資料。
IIS主要為視窗伺服器系統提供網路代管服務的元件,此外,包括Windows XP專業版及Vista的三個高階版本(商用版、企業版及旗鑑版)都含有IIS元件。
微軟說明,該漏洞的發生是因為WebDAV extension未能妥善處理請求的URL,駭客可藉由打造特殊的HTTP請求,以存取原本要求授權的區域。雖然該漏洞已被公開,但迄今尚未發現有實際攻擊行動。該漏洞影響IIS 5.0、IIS 5.1及IIS 6.0,最新的IIS 7.0則未受到波及。
微軟認為有許多條件限制了該漏洞的嚴重性,包括系統上仍設有檔案系統存取清單(File system ACLs),就算駭客透過漏洞入侵該系統,也僅限於匿名使用者權限;而且系統預設匿名使用者只能讀取並無法寫入檔案;另外,受影響的WebDAV元件在IIS 6.0中的預設值是關閉的。
微軟安全回應中心工程師Jonathan Ness指出,該漏洞主要帶來的是資訊外洩威脅。微軟仍在研究是否有其他攻擊可能性,目前認為在預設的狀況下,駭客無法上傳或變更伺服器上的網頁。
在微軟尚未發表修補程式前,Ness建議網站管理人員關閉WebDAV功能、更改filesystem ACL設定以拒絕匿名存取,並利用URLScan工具防堵惡意請求,以避免相關的安全威脅。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-16
2026-01-12
2026-01-12
2026-01-16
Advertisement