计算机应急反应工作队(CERT)日前发表的一则公告称，微软公司的IIS网络操作系统中存在着一个非常严重的安全隐患，远程攻击者利用它就可以向IIS网络服务器下达操作指令。这条公告题为“IIS系统中存在的CA-2001-12密码易破解缺陷”，它警告说这个缺陷与在此之前发现并多次被人利用的另一个IIS系统缺陷十分相似。

　　来自CERT调度中心的互联网安全分析家肖恩·赫尔南说，这个缺陷是被中国一家技术咨询企业NSFocus公司发现的。关于这件事的详情目前还不清楚，但赫尔南说该公司网站险些遭到入侵者的袭击。赫尔南说：“它可以令入侵者执行网络服务器上的命令、更换网页、试图享受其他特权或监视交易过程等。”

　　CERT调度中心位于匹兹堡的卡内基-梅隆大学，它在一份报告中指出，由于IIS系统有时会要求对输入的指令进行再次加密，而且把第二次加密的密码作为检查第一个密码的工具，因而容易造成密码的多次使用。文章说：“如果第一个密码通过了检查而第二个密码属于另一个有效的文件，系统就会让用户进入这个文件，不管用户当初想要进入的是不是这个文件。

　　这份公告建议用户查询下列网页上的指南以尽可能避免受到该缺陷的影响：

　　www.microsoft.com/technet/security/iis5chk.asp

　　www.microsoft.com/technet/security/iischk.asp

　　www.microsoft.com/technet/security/tools.asp

　　微软公司建议在系统中加上补丁程序以解决这个问题。赫尔南说这个补丁程序很大，它还可以弥补其他微软公司产品中的缺陷。

点击此处发送手机短信将此条新闻推荐给朋友

　　点击此处订阅手机短信NASDAQ最新行情