welcome tinhocK1 website

Friday, 29/03/2024, 11:30 AM

Chào Guest

Login form

Đăng nhập:
mật khẩu:

Ẩn

Tán Gẫu

500

Bạn thấy web tinhoc K1 thế nào?

Rate my site
Total of answers: 108
[ New messages · Members · Forum rules · Search · RSS ]
  • Page 1 of 1
  • 1
Forum moderator: thulinhrong  
Forum » cộng nghệ thông tin » tin tức cntt » Microsoft thừa nhận IIS mắc lỗi
Microsoft thừa nhận IIS mắc lỗi
thulinhrong Date: Friday, 29/05/2009, 11:35 PM | Message # 1
cố lên
Nhóm: manager group
Số bài đăng: 37
Reputation: 0
Trang thái: Offline
Hôm (19/5), Microsoft thừa nhận phần mềm máy chủ Internet Information Services (IIS) có mắc lỗi song khẳng định nguy cơ tin tặc có thể lợi dụng lỗi này để tấn công người dùng là không cao.

Đầu giờ sáng cùng ngày một số tổ chức hoạt động trong lĩnh vực bảo mật đã lên tiếng cảnh báo phần mềm IIS6 mắc một lỗi cực kỳ nguy hiểm có thể bị lợi dụng để ăn cắp thông tin. Nếu khai thác thành công lỗi này tin tặc không chỉ có thể truy cập mà còn có thể tải nhiều tệp tin lên máy chủ mắc lỗi.

Song Microsoft khẳng định để khai thác được lỗi này tin tặc cần tạo ra được một yêu cầu HTTP đặc biệt riêng gửi tới bất kỳ website nào đó đòi hỏi phải có chứng thực đăng nhập có mặt trên máy chủ chạy IIS6 mắc lỗi.

Jonathan Ness – một chuyên gia bảo mật của Microsoft – cho biết lỗi này chỉ có thể khai thác trong điều kiện IIS được cấu hình theo một phương thức nhất định chứ không thể tấn công rộng rãi được.

“Trong quá trình cài đặt IIS áp dụng NTFS Access Control để chặn không cho bất kỳ tài khoản không được chứng thực nào được phép ghi dữ liệu vào thư mục gốc wwwroot cũng như các thư mục phụ. Nếu IIS để ở trạng thái cấu hình mặc định tin tặc không thể khai thác được lỗi trên đây để tải tệp tin hoặc chỉnh sửa trang web trên máy chủ được”.

Lỗi trên đây phát sinh trong bộ phận WebDAV – tập lệnh mở rộng HTTP sử dụng để chia sẻ tài liệu qua web. WebDAV cũng được sử dụng trong Microsoft Exchange 2003 để cho phép người dùng truy cập tài khoản email qua trình duyệt.

Mặc dù lỗi có thể bị lợi dụng để tải tệp tin trên hệ thống nhưng chuyên gia bảo mật Thierry Zoller khẳng định tin tặc không thể lợi dụng lỗi này để điều khiển vận hành mã độc trên máy chủ.

Microsoft cũng xác nhận IIS 5 và IIS 5.1 cũng mắc lỗi tương tự như phiên bản IIS 6. Trong khi đó, IIS 7 có mặt trên Windows Vista và Windows Server 2008 không hề mắc lỗi nguy hiểm trên đây.

Hiện Microsoft vẫn đang tiếp tục tiến hành nghiên cứu sâu thêm về lỗi IIS để tìm giải pháp khắc phục. Rất có thể bản sửa lỗi IIS sẽ được phát hành cùng với bản cập nhật định kỳ tháng 6 tới đây.

Trong giai đoạn chờ đợi bản cập nhật sửa lỗi người dùng có thể phòng tránh nguy cơ bị tấn công bằng cách vô hiệu hóa WebDAV trên các phiên bản IIS mắc lỗi.

 
Forum » cộng nghệ thông tin » tin tức cntt » Microsoft thừa nhận IIS mắc lỗi
  • Page 1 of 1
  • 1
Search: