安全专家发现微软信息服务服务器的软件缺陷

安全专家发现微软信息服务服务器的软件缺陷

3月26日消息　一名委瑞内拉安全顾问发布了一个利用微软互联网信息服务器软件漏洞的小程序，微软最发布的补丁程序并没有解决这个问题。

周一公开了该程序的源代码—用安全术语说是利用，这个程序可以让技术知识较少的系统管理人员了解缺陷的存在，该程序也可以使不太熟练的恶意者攻击服务器。

委瑞内拉科学安全公司的信息安全顾问Rafael Nunez说，我发布这个程序是为了开导公众和让那些不熟悉这些漏洞的管理员改进系统的安全。Nunez此前是一名黑客，网名是“FaFa”。

程序发表在BugTraq和VulnWatch这两个安全列表上，这是微软公司一周前宣布的Windows 2000缺陷的最新麻烦。微软公司说，这个可能被利用的缺陷存在于互联网信息服务器（II2)5.0 World Wide Web分布式网页的制作与编译组件上，它可使攻击者控制服务器。该缺陷是美国军方在一台公共服务器因缺陷被入侵后在3月12日发现的。

除了表示用户应当用补丁程序修复系统外，微软公司拒绝评论此事。委内瑞拉安全顾问还强调，系统管理员应当在病毒编写者利用缺陷引导计算机蠕虫之前修复他们的系统。

Nunez说，这个缺陷是非常严重的，任何未经修复的系统都可以使远程攻击者获得系统管理员的全部权力。某些恶意的程序员可利用缺陷编写可使网站自动修改或发生其他恶意运行的蠕虫。

本文原载于ChinaByte