微軟著手修補IIS漏洞

在微軟Internet Information Services（IIS）FTP服務安全漏洞資訊及攻擊程式現身後，微軟隨後證實了相關漏洞，並表示已著手修補。

微軟安全回應中心技術團隊表示，這是一個FTP服務的堆積溢位漏洞，若FTP伺服器允許未被授權的使用者登入而且可建立一個很長且特製的目錄，那麼就可能觸發該漏洞，駭客可以透過開採該漏洞執行程式。

受到該漏洞影響的產品分別是位於Windows 2000中的IIS 5.0、位於Windows XP上的IIS 5.1、位於Windows 2003中的IIS 6.0。但位於Windows Vista及Windows Server 2008上的IIS 7.0則未受波及。其中，IIS 6.0因採用/GS建置所以可在駭客執行程式前就偵測到堆積溢位的問題並自我終止，因此被駭風險較低。

微軟安全回應團隊通訊經理Alan Wallace指出，雖然微軟發現網路上已有詳細的攻擊程式，但目前尚未接獲實際攻擊報告。微軟正在調查此問題並著手開發安全更新，當更新程式達到一定品質後便會發表。

在更新程式尚未出爐前，微軟建議用戶可以關閉FTP服務，或是避免利用NTFS ACLs建立新的目錄，而且也不要讓不詳的用戶透過IIS設計寫入資料。

由於該漏洞及相關攻擊程式直接在網路上現身，並未知會微軟，因此Wallace再度鼓勵各界應基於漏洞的責任揭密（responsible disclosure）原則，直接向軟體製造商回報漏洞資訊，以讓製造商可在使用者曝露於惡意攻擊前就釋出安全更新。

有別於對IIS漏洞的慎重其事，微軟對近日由Sentrigo所揭露的SQL Server漏洞便顯得意興闌珊。資料庫安全軟體業者Sentrigo在周三（9/2）指出，SQL Server 2000、2005及2008上含有一漏洞，可讓具管理員權限的使用者瀏覽其他使用者未加密的密碼或是憑證。

Sentrigo說明，這主要是因為使用者登入SQL Server時所使用的密碼會儲存在記憶體中，而且直接顯示密碼文字，要等到系統重新開機才會消失。不過微軟認為，如果該漏洞要求必須具備管理者權限才能進行攻擊，那麼有管理者權限的使用者早就掌控了整個系統，無所謂攻不攻擊，因此覺得沒有發表更新程式的必要。（編譯/陳曉莉）