微软：合理操作就可避免IIS零日漏洞

本周四，微软安全部门主管克里斯多弗·巴德向媒体表示，经过严密的调查并没有发现IIS（网络信息服务）存在任何重大安全漏洞。

据悉，巴德是在上 周传出IIS曝出远程控制漏洞后所作出的回应。但是调查发现IIS服务中存在一个无法处理URL间隔号的缺陷，不过该缺陷不会允许黑客绕过安全过滤软件向 IIS服务器上传可执行代码。巴德还认为，同一目录下IIS服务的默认配置会阻止潜在的攻击，用户只要按照正常的安全步骤进行操作就不用担心任何问题。

上周，专业漏洞分析公司Secunia的研究人员索罗什·戴利指出，微软IIS服务存在高危漏洞。漏洞的成因是IIS对文件名中含有分号或冒号间隔的解析方式。许多Web应用程序被配置为拒绝上传带有可执行文件，比如ASP（动态服务器主页）。

但是黑客把恶意程序XX.asp伪装成XX.asp..jpg或其他无害的文件，能绕过防火墙等防护设施。

由此可见，按照微软官方的说法，用户只要合理操作就能避免该漏洞造成危害。