Microsoft在Microsoft Internet Information Service(IIS)的FTP组件中存在一个严重漏洞,它允许攻击者在服务器上执行恶意命令,微软在新的安全公告中警告说。防御帖子中,如果一个存在漏洞的IIS 5.0(Windows 2000),5.1(XP)或6.0(Server 2003)FTP服务尝试列出“长而特制的目录名称”,则会发生堆栈溢出,允许远程代码执行。根据帖子的说法,IIS 7.0(Vista,Server 2008)不是脆弱的。
命中一个FTP服务器需要授予不可信用户访问权限登录并创建那个长而专门起草的目录。
[更多阅读:如何从Windows PC中删除恶意软件]
目前还没有任何补丁可用,微软表示它已经看到“详细的漏洞利用代码”可以在线获得,尽管它尚未发现任何主动攻击。微软的帖子列出了暂时的解决方法,包括如何防止匿名FTP用户能够创建目录。