|
|
|
微软Web服务器与IE浏览器中的软件漏洞可能导至数百万台服务器与家用计算机遭到黑客攻击,安全研究专家周三表示。 <br><br>此漏洞是由安全公司Foundstone发现,且经微软证实,可允许网络攻击者入侵Web服务器,藉此散播病毒email,或制造一只快速感染的网络病虫。 <br><br>“可能因此受害的系统与客户高达上百万人。”Foundstone首席执行官George Kurtz表示。“这个漏洞影响范围太大了。” <br><br>Kurtz表示,此次漏洞发生在Windows操作系统中一个可让Web服务器及浏览器跟网络数据库进行沟通的组件中,而危害等级可跟之前发生过的 Code Red(红色警戒)或Nimda病毒相比。直接受害者是采用微软IIS软件的410万户网站。另外,安装Windows 95/98/Me或2000的计算机也会受此 软件臭虫影响。<br><br>微软将此一漏洞列为“危急”(critical)。微软日前才刚改变过漏洞等级制度,新制中提高“危急”的门坎,好让网络管理员可确实优先进行 危急漏洞的修补动作。 <br><br>“这漏洞的确可能造成病虫入侵。”微软安全响应衷心安全程序经理Lynn Terwoerds表示。“真的相当紧急,因此我们希望提高修补程序的紧 急程度。”<br><br>该漏洞会影响使用MDAC(微软数据存取组件)软件来与数据库进行沟通的IIS网络服务器。若使用最新版本MDAC 2.7的服务器将不会受到影响,另 外,有安装IIS Lockdown Tool的系统也无安全顾虑。<br><br>不过由于MDAC软件并非预设安装,有部分研究人员认为危害程度应该不若Foundstone所说的这么可怕。<br><br>“若有使用此一组件的服务器才会遭到入侵。”eEye数字安全公司黑客长Marc Maiffret表示。该公司曾发现引发Code Red病虫的漏洞(导至40 万台服务器受害)。<br><br>“预设漏洞就会比较糟糕。”他表示。“因为你根本没有安装任何软件,只要使用到IIS网络服务器就中标了。”<br><br>除了Windows XP以外,若使用IE 5.01、5.5或6版的Windows计算机也同样会遭殃,因为这些也会使用到此一数据存取组件。不过这类系统就比 较不容易遭到攻击。微软的Terwoerds表示,Outlook Express 6与Outlook 2000都无法在默认值下遭入侵,而其它版本的email软件则可透过 Outlook E-mail Security Update作更新。 |
|
狗仔卡
发表于 26.11.2002 20:40:58
显身卡