发布今年首批安全公告微软警告VoIP缺陷_voip_国外

发布今年首批安全公告微软警告VoIP缺陷

2004/01/15

　　本周二，微软发布了今年的首批安全公告，警告用户称，其用来控制IP电话流量的“互联网安全和加速服务器”（ISA）的一个组件中存在一处危急缺陷。

　　微软在其网站上发布了代号为MS04-001至MS04-003的安全公告，其中包括对Exchange Server 2003和Microsoft Data Access Components（MDAC）中安全缺陷的补丁软件。

　　H.323是一种被IP电话技术用来通过IP网络发送音、视频数据的协议。在H.323数据包过滤器中的一处缓冲区溢出缺陷能够使黑客在有问题的服务器上运行他们自己的恶意代码，他们还可能获得对整个服务器系统的控制权。微软公司声称，必须要发送一个经过特殊设计的H.323数据包才能够触发这一缺陷。

　　微软是于本周二公布H.323缺陷的许多公司之一。思科也于本周二发布了Internetwork操作系统版本的软件补丁。

　　Network Associates公司的病毒研究经理克莱格表示，只要有缺陷的服务被打开，而且正在接听呼入的H.323数据包，黑客无须使用VoIP就能够触发这一安全缺陷。

　　在本周二同样被修正的还包括许多版本的MDAC。微软表示，成功地触发该安全缺陷的黑客可能将他们的权限提高到运行使用MDAC的应用程序的用户相同的级别。

　　微软称，第三个面向Exchange Server 2003的安全补丁软件的危险程度被评为“中等”，它修正了能够使Outlook Web Access用户浏览Exchange服务器上其它电子邮箱中的内容。要利用这一缺陷，攻击者需要一个有效的Exchange 2003帐户。微软还表示，攻击者不能够选择要浏览哪一个电子邮箱中的内容。

计算机世界网(www.ccw.com.cn)