4月20日消息，微軟星期四（4月17日）發(fā)布安全警告稱，其大多數(shù)版本的Windows存在一個(gè)安全漏洞。但是，微軟沒(méi)有許諾要修復(fù)這個(gè)安全漏洞，也沒(méi)有說(shuō)它是否要修復(fù)這個(gè)安全漏洞和什么時(shí)候發(fā)布一個(gè)補(bǔ)丁。微軟在三個(gè)星期前還拒絕承認(rèn)這個(gè)問(wèn)題是一個(gè)安全漏洞。

微軟在安全公告中把這個(gè)安全漏洞歸類為提升權(quán)限的安全漏洞。利用這個(gè)安全漏洞能夠給攻擊者訪問(wèn)被攻破的計(jì)算機(jī)的更大的權(quán)限。這個(gè)安全漏洞影響到Windows XP專業(yè)版SP2和所有版本的Windows Server 2003、Windows Vista和最新的Windows Server 2008。

微軟稱，雖然這個(gè)安全漏洞存在于Windows操作系統(tǒng)中，但是，攻擊者能夠通過(guò)在微軟Web服務(wù)器“互聯(lián)網(wǎng)信息服務(wù)”上運(yùn)行的客戶Web應(yīng)用程序來(lái)利用這個(gè)安全漏洞。通過(guò)SQL服務(wù)器也能夠利用這個(gè)安全漏洞。

nCircle網(wǎng)絡(luò)安全公司安全運(yùn)營(yíng)經(jīng)理Andrew Storms說(shuō)，Web應(yīng)用程序以較低的權(quán)限運(yùn)行。利用這個(gè)安全漏洞能夠把這個(gè)權(quán)限提升到本地系統(tǒng)賬戶的權(quán)限，離管理員權(quán)限不遠(yuǎn)了。你能夠使用本地系統(tǒng)賬戶做很多事情。

阿根廷的一位研究人員和安全顧問(wèn)Cesar Cerrudo幾個(gè)星期前說(shuō)，他要在即將召開(kāi)的一個(gè)會(huì)議上披露一個(gè)Windows安全漏洞。Cerrudo在3月末說(shuō)，這個(gè)安全漏洞能夠繞過(guò)包括Windows Server 2008在內(nèi)的最新版本的Windows操作系統(tǒng)的安全措施。

Cerrudo說(shuō)，通過(guò)互聯(lián)網(wǎng)信息服務(wù)可以實(shí)施這個(gè)攻擊。通過(guò)在NetworkService（網(wǎng)絡(luò)服務(wù)）、LocalService（本地服務(wù)）和LocalSystem（本地系統(tǒng)）等不同的賬戶下運(yùn)行Web應(yīng)用程序能夠緩解這個(gè)風(fēng)險(xiǎn)。

微軟安全反應(yīng)中心發(fā)言人Bill Sick當(dāng)時(shí)說(shuō)，Cerrudo披露的信息是一個(gè)軟件設(shè)計(jì)瑕疵，不是真正的安全漏洞。他還不重視這個(gè)安全漏洞，說(shuō)Cerrudo的演示沒(méi)有說(shuō)明攻擊者能夠獲得訪問(wèn)這些可信賴的賬戶的方法。

Cerrudo在阿聯(lián)酋迪拜舉行的“HITBSecConf2008”會(huì)議上演示了這個(gè)安全漏洞之后，微軟承認(rèn)了這個(gè)安全漏洞并且向用戶發(fā)布了安全警告。