美国时间周二,微软再次公布了有关该公司产品中三个漏洞的信息,其中最严重的一个漏洞会在微软的安全服务器产品中给攻击者留下后门。
这个最严重的漏洞与微软的“互联网安全和加速服务器2000”(Internet Security and Acceleration Server 2000)有关,这个组件在微软的“小企业服务器”2000和2003版都有。微软警告说,这款服务器产品的防火墙中有一个过滤器存在问题,这个过滤器处理实时多媒体通讯标准(即“国际电信联盟”ITU H.323标准)的数据的方式不安全。
微软当时发布“互联网安全和加速服务器”的目的是想帮助企业用户保护自己的网络不受网上攻击者的侵害。
微软安全程序经理Stephen Toulouse说:“过去我们也曾看到过这样的情形——人总是难免要犯错误,即使在开发安全软件问题上也不例外。”
另外,IP语音设备制造商也可能受到这个漏洞的影响,不过程度可能要轻一些。
第二个漏洞存在于“Windows 2000”和“Windows XP”中的“数据访问组件”中,另外该公司的“SQL Server 2000”和“Windows Server 2003”也将受到影响。攻击者只需要把自己的电脑伪装成一台SQL服务器,然后就可以利用这个漏洞完全“接管”用户的系统。但是由于发起这样攻击的过程非常复杂,所以微软把这个漏洞定级为“重要”而非“关键”。
第三个漏洞存在于微软的“Exchange Server 2003”中。利用这个漏洞,攻击者通过“在线Web访问”模块就可以进入其他最近访问服务器的用户的收件箱。
Toulouse说:“结果是,攻击者在某些情况下可以完全访问一个随机用户的信箱。”