winson
2001-03-31, 12:35 AM
Infopro.com 2001/3/30
--------------------------------------------------------------------------------
專攻微軟產品的保加利亞安全專家Georgi Guninski日前推出了一份建議書,其中表示微軟瀏覽器IE、網站伺服器IIS、以及郵件伺服器Exchange 2000三者的組合,可能會導致伺服器的目錄結構與使用者的電子郵件遭人窺伺。
微軟的OLE DB能將網頁資訊儲存在資料庫中,其中的資料交換過程使用了描述式語言,因而產生了漏洞。「使用者不但能接觸到儲存HTML文件的伺服器,其他伺服器亦不能倖免。」Guninski說。除此之外,如果網站伺服器IIS 5.0放在企業網路內,IE 5.0以上的版本還會不經使用者允許,自動通過授權。
Guninski將此漏洞設定為「高度危險」,但微軟目前尚未對此發表任何聲明。Guninski表示,微軟在回覆給他的郵件中說,「在現實生活中要瀏覽具有惡意原始碼的網站,是不切實際的。」
事實上,駭客可以利用此漏洞建立一特定網頁,引誘使用者上鉤,最後洩露了機密。「在某些情況下,駭客可以看到使用者儲存在Exchange 2000上的郵件;」Guninski解釋,「甚至在其上建立或修改檔案。」
Guninski建議使用者立即關閉IE中「Active Scripting」的選項,以保護自己的資料以免外洩。
Source, Infopro.com資傳網
--------------------------------------------------------------------------------
專攻微軟產品的保加利亞安全專家Georgi Guninski日前推出了一份建議書,其中表示微軟瀏覽器IE、網站伺服器IIS、以及郵件伺服器Exchange 2000三者的組合,可能會導致伺服器的目錄結構與使用者的電子郵件遭人窺伺。
微軟的OLE DB能將網頁資訊儲存在資料庫中,其中的資料交換過程使用了描述式語言,因而產生了漏洞。「使用者不但能接觸到儲存HTML文件的伺服器,其他伺服器亦不能倖免。」Guninski說。除此之外,如果網站伺服器IIS 5.0放在企業網路內,IE 5.0以上的版本還會不經使用者允許,自動通過授權。
Guninski將此漏洞設定為「高度危險」,但微軟目前尚未對此發表任何聲明。Guninski表示,微軟在回覆給他的郵件中說,「在現實生活中要瀏覽具有惡意原始碼的網站,是不切實際的。」
事實上,駭客可以利用此漏洞建立一特定網頁,引誘使用者上鉤,最後洩露了機密。「在某些情況下,駭客可以看到使用者儲存在Exchange 2000上的郵件;」Guninski解釋,「甚至在其上建立或修改檔案。」
Guninski建議使用者立即關閉IE中「Active Scripting」的選項,以保護自己的資料以免外洩。
Source, Infopro.com資傳網