Win2000 Server中存在严重的安全漏洞
　2001-05-09 14:37:28

　　日本微软于2001年5月2日宣布，在“Windows 2000 Server”、“Windows 2000 Advanced Server”、“Windows 2000 Datacenter Server”中标准配备的Web服务器软件“IIS 5.0”中存在着严重的安全漏洞。如果恶意利用该安全漏洞，在最坏的情况下，来自外部的攻击者可以“冒名管理者”，将自己登录到运行在IIS 5.0上的Windows 2000 Server后便能够操作服务器上所有的程序。日本微软表示，美国微软的Web网站上已经开始发放用来解决这一问题的补丁软件。
　　
　　日本微软公布的安全漏洞是与“ISAPI扩展”相关的漏洞，“ISAPI扩展”是用来执行IIS 5.0及Web应用软件的组件（Commponent）。在使用IPP（Internet Printing Protocol）协议的因特网印刷系统（注：供客户端在因特网上利用Web浏览器操作打印机的系统）中，当来自外部的攻击者实施向ISAPI扩展发送特定参数的Buffer Over Run（音译）攻击时，便可以从外部执行服务器上的所有的代码。换句话说这将允许外部入侵者劫持系统。
　　
　　日本微软表示这个安全漏洞非常严重，并且紧急建议所有使用IIS 5.0的系统管理员导入补丁软件。另外，该公司将在今后提供的Windows 2000 Service Pack 2中包含纠错程序。
　　
　　■相关信息
　　
　　·日本微软的Web网站 http://www.microsoft.com/japan/
　　
　　·日本微软的与安全性信息相关的Web网页 http://www.microsoft.com/japan/technet/security/