Microsoft修补了更多安全漏洞

Microsoft修补了更多安全漏洞

微软公司周三发布了三个独立产品中的漏洞补丁,其中包括IIS中新的缓冲区溢出漏洞,使攻击者能够在目标计算机上运行任意代码。

该漏洞存在于HTR中,这是一种很少使用的旧脚本语言。由于向后兼容性,IIS4.0和5.0都包含对HTR的支持。该缺陷在ChunkedEncoding数据传输机制中,通过向易受攻击的服务器发送特制会话,攻击者可能会覆盖堆内存的一部分。

然后攻击者可以操纵部分被覆盖的内存。内存将外国数据移动到攻击者提供的内存地址,这将改变执行流入攻击者自己的有效负载,根据eEye数字安全公司发布的漏洞公告,发现了这个问题。

此漏洞与今年早些时候HTR发现的另一个问题非常相似。微软表示,有一些攻击工具可用于以前的漏洞,这使得新的漏洞更加危险。

进一步阅读Brinqa如何为网络风险带来可行的见解......Splunkvs.LogRhythm:SIEMHead-to-Head

“虽然许多人可能认为这些类型漏洞的风险相当低,因为寻址是动态的,而且需要在攻击中使用暴力技术......这个前提是错误的,因为成功的利用可以可以在.dll版本中进行一次尝试。“eEye在其公告中表示。

该补丁可在线获取。

微软还发布了一个针对远程缓冲区溢出漏洞的补丁访问服务电话簿,用于拨号连接,包含在N中T4.0,NT4.0终端服务器版,Windows2000和WindowsXP,以及路由和远程访问服务器,所有这些都是易受攻击的。

攻击者可以使用该漏洞登录受影响的人服务器,使用特殊格式错误的代码修改电话簿条目,然后使用此条目建立连接。然后攻击者代码将在易受攻击的系统上执行。或者,该漏洞可能会导致系统故障。

SQLServer2000sSQLXML服务中还有两个新的漏洞。ISAPI扩展中有一个未经检查的缓冲区,可以使攻击者能够在IIS服务器上运行代码,以及指定XML标记的函数中的漏洞。微软表示,第二个漏洞可能允许攻击者以易于升级的权限在易受攻击的机器上运行脚本。

这些漏洞的补丁也可在线获取。

相关故事:t更新MSN聊天控制PatchTrusting在Microsoft中的修复?更多安全性覆盖

(责任编辑:吉美彩票官网)

本文地址:http://www.jinworld.com/mingcha/wulongcha/201908/3210.html

上一篇:eScan2003InternetSe吉美彩票官网curitySuite 下一篇:没有了