微軟上周四(9/3)更新安全報告,指出已發現針對Internet Information Services(IIS)FTP服務安全漏洞的攻擊。而且微軟原本以為該漏洞僅影響IIS 5.0、IIS 5.1及IIS 6.0,但最新的報告則顯示IIS 7.0亦無法倖免。
這是一個FTP服務堆積溢位漏洞,若FTP伺服器允許未被授權的使用者登入而且可建立一個很長且特製的目錄,就可能觸發該漏洞,讓駭客可以執行程式或進行阻斷式服務攻擊。
早在一周前專門蒐集攻擊程式的Milw0rm網站就出現針對該漏洞的攻擊程式,首隻攻擊程式主要鎖定Windows 2000伺服器上所執行的IIS 5.0。而上周Milw0rm站上再度出現鎖定其他平台進行阻斷式服務攻擊的概念性驗證程式,包括Windows XP上的IIS 5.1、Windows 2003所使用的IIS 6.0,以及Windows Vista及Windows Server 2008平台上的IIS 7.0都受到波及。
微軟安全回應中心通訊經理Alan Wallace上周證實已發現針對IIS FTP漏洞的有限攻擊。
不過,微軟IIS團隊成員Wade Hilmo則表示,上周新出現的概念性驗證程式是鎖定另一個IIS FTP服務漏洞,只是它與首個出現的漏洞有相同的影響,而解決方法亦類似。
Hilmo指出,兩個概念性驗證程式皆是由同一個研究人員所揭露,而且該研究人員都是選擇直接向大眾發表,而未先知會微軟。
IIS與FTP的版本別有些不一致而混淆了不少人。通常IIS與FTP版本是相對應的,但IIS 6.0及IIS 7.0則例外皆採用FTP 6.0版本,而且微軟額外針對Vista及Windows Server 2008平台供應FTP 7.0擴充元件,Hilmo說明,目前的調查顯示FTP 7.0及Windows 7與Windows 2008 R2所採用的FTP 7.5是不受影響的。
該版本別的設計也導致微軟安全回應中心初期宣布IIS 7.0並未受到影響。
在更新程式尚未出爐前,微軟建議用戶可以關閉FTP服務,或是避免利用NTFS ACLs建立新的目錄,而且也不要讓不明的用戶透過IIS設計寫入資料。
微軟即將於本周二(9/8)進行例行性更新,但外界認為微軟應該來不及於此次更新修補該漏洞。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-16
2026-01-12
2026-01-12
2026-01-16