微軟官方辟謠：IIS無0day漏洞，安全靠設(shè)置

Win7之家（ afsion.com.cn）：微軟官方辟謠：IIS無0day漏洞，安全靠設(shè)置

09年的12月26日，Windows7之家發(fā)了《微軟IIS報(bào)嚴(yán)重安全漏洞》，09年的最后一天，微軟安全部門主管克里斯多弗·巴德向媒體表示，經(jīng)過嚴(yán)密的調(diào)查并沒有發(fā)現(xiàn)IIS（網(wǎng)絡(luò)信息服務(wù)）存在任何重大安全漏洞。

據(jù)悉，巴德是在上周傳出IIS曝出遠(yuǎn)程控制漏洞后所作出的回應(yīng)。但是調(diào)查發(fā)現(xiàn)IIS服務(wù)中存在一個(gè)無法處理URL間隔號(hào)的缺陷，不過該缺陷不會(huì)允許黑客繞過安全過濾軟件向 IIS服務(wù)器上傳可執(zhí)行代碼。巴德還認(rèn)為，同一目錄下IIS服務(wù)的默認(rèn)配置會(huì)阻止?jié)撛诘墓�擊，用戶只要按照正常的安全步驟進(jìn)行操作就不用擔(dān)心任何問題。

上周，專業(yè)漏洞分析公司Secunia的研究人員索羅什·戴利指出，微軟IIS服務(wù)存在高危漏洞。漏洞的成因是IIS對(duì)文件名中含有分號(hào)或冒號(hào)間隔的解析方式。許多Web應(yīng)用程序被配置為拒絕上傳帶有可執(zhí)行文件，比如ASP（動(dòng)態(tài)服務(wù)器主頁）。

但是黑客把惡意程序XX.asp偽裝成XX.asp..jpg或其他無害的文件，能繞過防火墻等防護(hù)設(shè)施。

由此可見，按照微軟官方的說法，用戶只要合理操作就能避免該漏洞造成危害。