4月10日,微软发布了一款修正IIS Web服务器软件中安全漏洞的“危险的”安全补丁程序,这些安全漏洞能够使黑客完全控制运营网站的计算机系统。微软建议,在Windows NT 4.0、Windows 2000或Windows XP专业版上运行网站的用户立即安装该补丁软件。
微软表示,4、5和5.1版IIS中都存在该安全缺陷,3605 β版及更高版本的.Net Server中已经包含有这款补丁软件,IIS 6就包含在.Net Server中。
据微软称,这款补丁软件中包括有以前独立发布的各款安全补丁软件,并修正了10个新发现的影响ISS的安全漏洞。其中10个新发现的安全漏洞都会影响到IIS 5,影响IIS 4的为9个,影响IIS 5.1的为8个。微软认为,其中有3个补丁对于所有版本的ISS是“危险的”,一个对于ISS 4、5二个版本是“危险的”,其中新的安全漏洞的危险程度则相当较低。许多新的安全补丁都与所谓的缓存溢出和Dos攻击有关。
微软建议,运行ISS的用户应当下载相关的补丁程序,如果运行的Windows XP,也可以使用自动升级功能获得补丁程序。ISS 4的补丁程序要求Windows NT服务器安装有Service Pack 6a,IIS 5的补丁程序可以安装在已经安装Service Pack 1或2的Windows 2000上,IIS 5.1的补丁程序适用于运行Windows XP专业版的系统。
微软表示,除了安装安全补丁程序外,ISS用户还应当下载并安装IIS Lockdown Tool 2.1,关闭不使用的服务,尽量减少可能被黑客利用的安全漏洞。
