微軟官方辟謠：IIS無0day漏洞，安全靠設置

Win7之家（ m.airtaxifl.com）：微軟官方辟謠：IIS無0day漏洞，安全靠設置

09年的12月26日，Windows7之家發(fā)了《微軟IIS報嚴重安全漏洞》，09年的最后一天，微軟安全部門主管克里斯多弗·巴德向媒體表示，經(jīng)過嚴密的調(diào)查并沒有發(fā)現(xiàn)IIS（網(wǎng)絡信息服務）存在任何重大安全漏洞。

據(jù)悉，巴德是在上周傳出IIS曝出遠程控制漏洞后所作出的回應。但是調(diào)查發(fā)現(xiàn)IIS服務中存在一個無法處理URL間隔號的缺陷，不過該缺陷不會允許黑客繞過安全過濾軟件向 IIS服務器上傳可執(zhí)行代碼。巴德還認為，同一目錄下IIS服務的默認配置會阻止?jié)撛诘墓�擊，用戶只要按照正常的安全步驟進行操作就不用擔心任何問題。

上周，專業(yè)漏洞分析公司Secunia的研究人員索羅什·戴利指出，微軟IIS服務存在高危漏洞。漏洞的成因是IIS對文件名中含有分號或冒號間隔的解析方式。許多Web應用程序被配置為拒絕上傳帶有可執(zhí)行文件，比如ASP（動態(tài)服務器主頁）。

但是黑客把惡意程序XX.asp偽裝成XX.asp..jpg或其他無害的文件，能繞過防火墻等防護設施。

由此可見，按照微軟官方的說法，用戶只要合理操作就能避免該漏洞造成危害。