微軟發布IIS安全預警 可能導致拒絕服務攻擊

[pomelo]

ZDNet China 5月29日報道 微軟（Microsoft）在星期三發布了新的信息安全預警，指出可能遭受外來攻擊的潛在漏洞。

在微軟發布的兩個信息安全公告當中，等級比較高的一個公告，包含了修正四個IIS（Internet Information Services）漏洞的修補程序。這個列為“重要”級的公告當中指出，潛在的漏洞，可能導致拒絕服務（denial-of-service）的攻擊。

微軟的程序經理Stephen Toulouse表示，“我們希望每個IIS 4.0版、5.0版、和5.1版的用戶，都安裝這個修補程序。”至於IIS 6.0版和Windows Server 2003則不受這個漏洞影響。

另外一個列為“中等”程度的信息安全公告，則是修正了Windows Media Services當中的漏洞，這個漏洞也會導致阻絕服務。這兩個信息安全公告，分別是微軟今年第18個和第19個安全預警。

在匯整修補程序當中的四個漏洞，其中最嚴重的是在IIS的WebDav當中的問題，這個漏洞可能導致執行IIS的服務器終止響應，這個漏洞存在IIS 5.0版和5.1版，而4.0版則沒有問題。

另外兩個漏洞被列為中等程度。其中一個可能導致阻絕服務，另一個則可能被惡意程序入侵，引發緩沖區溢位（buffer overrun）。不過外來攻擊者都必須要先上載一個特別的網頁，才有辦法利用這兩個漏洞。

至於Windows Media Services當中的漏洞，則是和引發IIS服務器終止響應有關。

微軟在最近几個月來，采取了許多動作，試圖取信技術主管安裝微軟的安全修補程序。微軟設置了分別針對信息主管和消費者的電子郵件預警系統，以及解決任何修補程序問題的免付費專線。

Toulouse表示，在微軟試圖盡快解決問題的同時，微軟也花了許多時間測試相關的修補程序，以免出現新的漏洞。

Toulouse指出，“等到每一個人都安裝了修補程序，我們才會感到滿意。”“我們嘗試和每個需要安裝修補程序的客戶，進行溝通。”

在這兩個新的信息安全公告之外，微軟也更新了兩個既有的預警，發表了一個漏洞的新版修補程序，以及一個修正原有漏洞之外新漏洞的修補程序。微軟在星期二也撤回了一個Windows XP的信息安全更新，微軟表示在一些已經下載該項修補程序的用戶當中，有些會出現中斷因特網聯機的問題。


文章來源：ZdnetChina