科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道微软承认Windows存在一个提升权限安全漏洞

微软承认Windows存在一个提升权限安全漏洞

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

微软星期四(4月17日)发布安全警告称,其大多数版本的Windows存在一个安全漏洞。但是,微软没有许诺要修复这个安全漏洞,也没有说它是否要修复这个安全漏洞和什么时候发布一个补丁。

作者:天虹 来源:赛迪网 2008年4月21日

关键字: Windows 2008 系统安全

  • 评论
  • 分享微博
  • 分享邮件

  【赛迪网讯】4月20日消息,微软星期四(4月17日)发布安全警告称,其大多数版本的Windows存在一个安全漏洞。但是,微软没有许诺要修复这个安全漏洞,也没有说它是否要修复这个安全漏洞和什么时候发布一个补丁。微软在三个星期前还拒绝承认这个问题是一个安全漏洞。

  微软在安全公告中把这个安全漏洞归类为提升权限的安全漏洞。利用这个安全漏洞能够给攻击者访问被攻破的计算机的更大的权限。这个安全漏洞影响到Windows XP专业版SP2和所有版本的Windows Server 2003、Windows Vista和最新的Windows Server 2008。

  微软称,虽然这个安全漏洞存在于Windows操作系统中,但是,攻击者能够通过在微软Web服务器“互联网信息服务”上运行的客户Web应用程序来利用这个安全漏洞。通过SQL服务器也能够利用这个安全漏洞。

  nCircle网络安全公司安全运营经理Andrew Storms说,Web应用程序以较低的权限运行。利用这个安全漏洞能够把这个权限提升到本地系统账户的权限,离管理员权限不远了。你能够使用本地系统账户做很多事情。

  阿根廷的一位研究人员和安全顾问Cesar Cerrudo几个星期前说,他要在即将召开的一个会议上披露一个Windows安全漏洞。Cerrudo在3月末说,这个安全漏洞能够绕过包括Windows Server 2008在内的最新版本的Windows操作系统的安全措施。

  Cerrudo说,通过互联网信息服务可以实施这个攻击。通过在NetworkService(网络服务)、LocalService(本地服务)和LocalSystem(本地系统)等不同的账户下运行Web应用程序能够缓解这个风险。

  微软安全反应中心发言人Bill Sick当时说,Cerrudo披露的信息是一个软件设计瑕疵,不是真正的安全漏洞。他还不重视这个安全漏洞,说Cerrudo的演示没有说明攻击者能够获得访问这些可信赖的账户的方法。

  Cerrudo在阿联酋迪拜举行的“HITBSecConf2008”会议上演示了这个安全漏洞之后,微软承认了这个安全漏洞并且向用户发布了安全警告。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章