一位研究人員發現最新版本的微軟互聯網資訊服務中有一個安全漏洞，能夠讓攻擊者在運行這個流程的Web服務的電腦上執行惡意代碼。

　　據研究人員SoroushDalili說，這個安全漏洞存在於互聯網資訊服務解析代冒號或者分號的檔案名的方式中。許多Web應用程式設置為拒絕包含可執行檔的檔夾，如活躍的伺服器網頁，這些可執行檔的副檔名通常是“.ASP”。通過把“；.jpg”或者其他有益的檔副檔名附加到一個惡意檔，攻擊者就能夠繞過篩檢程式並且有可能欺騙伺服器運行這個惡意軟體。

　　對於這個安全漏洞似乎還存在一些分歧。Dalili說，這個安全漏洞影響到所有版本的互聯網資訊服務。雖然他把這個安全漏洞列為“非常嚴重”等級的安全漏洞，但是，安全漏洞跟蹤公司Secunia把它分類為“不太嚴重”的安全漏洞。這是這家公司安全漏洞五個等級之中的第二級。

　　Dalili說，這個安全漏洞的影響是絕對高的，因為攻擊者通過在“.asp”、“.cer”、“asa”等可執行檔副檔名後面使用一個分號就能夠繞過檔副檔名保護措施。由於互聯網資訊服務的這個弱點，許多Web應用程式都容易受到檔上載的攻擊。

　　Dalili介紹了這種攻擊的情形。他說，假如一個網站僅接受JPG檔作為用戶的頭像，用戶可以向這個伺服器上載自己的頭像。現在，攻擊者可以向這個伺服器上載“Avatar.asp；.jpg”文件。Web應用程式把這個檔看作是一個JPG檔。因此，這個檔就允許上載到這個伺服器。但是，當攻擊者打開這個上載的檔的時候，互聯網資訊服務就認為這個檔是一個ASP檔並且設法使用“asp.dll”運行這個檔。

　　Dalili說，因此，攻擊者使用這種方法能夠向伺服器上載一個Web外殼。大多數上載程式只能控制檔的最後部分作為其副檔名。通過使用這種方法，他們的保護措施就被繞過了。

　　Secunia沒有解釋它的評估結論是如果做出的。但是，這家公司證實這個安全漏洞存在于運行完全使用補丁的帶微軟互聯網安全服務第六版的WindowsServer2003R2SP2作業系統的機器中。

　　微軟發言人稱，微軟研究人員正在對這個報告展開調查。微軟目前還不知道針對這個報告的安全漏洞實施的攻擊。

　　51CTO王文文：很早的時候Windows2003爆過一個“bug”，只要你上傳的webshell是在.asp結尾的目錄中，那無論你上傳的是不是.asp尾碼的檔，它都會解析成asp。但奇怪的是，微軟很長時間都沒修復這個“bug”。現在又出了這麼一個類似的“bug”，卻被稱為嚴重漏洞了。不知道這次微軟會不會為其發補丁呢？期待2010年新年的第一個週二補丁日。