保加利亚bug猎手Georgi Guninski发出警告报告说,通过微软的Internet Explorer (IE)浏览器、互连网信息服务(IIS)和Exchange 2000软件之间的交互作用,可能暴露出服务器中的用户通讯地址录和电子邮件。
这项报告说,微软的互连网发布程序OLE DB的数据库中储存着一个用来帮助互连网发布信息的工具,此工具可以在IIS 5.0或其他互连网数据库中调用供访问或对象操作的脚本。
“问题是它允许和任何服务器连接,而不能制止其它服务器可能会下载其超文本网页,”Guninski在警告中说。
另外,IIS 5.0在使用IE 5.0或更高版本的本地企业内部互连网中,浏览器会自动鉴别它而不事先提示用户。
黑客希望利用这个漏洞创造一个怀有恶意的网站,以获取服务器的通讯地址录,这可能在任何浏览用户访问时,列出浏览用户IIS 5.0服务器中所有的通讯地址录。如果通讯地址录储存在带网络数据库的Exchange 2000服务器中,在某些情况下,甚至可以直接读取用户的电子邮件或文件夹。
家庭电脑用户特别容易因这个漏洞受到攻击,使用IIS的互连网服务商需要注意这个漏洞。许多企业也容易遭到攻击,可能你用超文本发送一封电子邮件,就可以破坏一家公司的网络服务器。
Guninski推荐用户禁止主动性的脚本以解决这个漏洞。
Guninski在去年发现了微软软件的几个漏洞。他一月份在Windows的Media Player 7中发现了个安全漏洞,漏洞源于定制装饰用户界面图像的播放器“皮肤”,它允许黑客完全控制用户的电脑。(天译工作室)
|