主題: 轉載資傳網電子報微軟漏洞

[ZMAN]

微軟日前一口氣推出三支修正程式，以修正四個漏洞。其中一個漏洞遍見於Windows NT/2000/XP，其風險被微軟評為「最危險」級。

在Windows NT/2000/XP中的RAS（Remote Access Service，遠端存取服務）中，因為緩衝區溢位的問題，駭客可能因此入侵取得控制權，或導致系統當機。不過微軟表示，在施行入侵之前，駭客必須修改Windows NT/2000/XP上的RAS設定才行；所以只要系統管理員限定使用者的登入行為，就不會受到此一漏洞的影響。

另一個問題出現在網站伺服器IIS（Internet Information Server）4.0/5.0上，Windows NT/2000上都有此一元件。藉由過時的HTR描述式語言功能，駭客能在伺服器上執行不明的程式碼。HTR在IIS 2.0時代就已經存在；但由於微軟在IIS 4.0開始大幅採用ASP（Active Server Pages），HTR的預設值已經被設為關閉，因此這個漏洞並未造成任何傷害。

另外兩個漏洞則存在於SQL Server 2000的SQLXML元件上，此元件可以讓使用者利用SQL Server傳遞XML語言；駭客可以藉此漏洞接管整台伺服器。

您可以在以下網址看到微軟的原始說明文件：
RAS： http://www.microsoft.com/technet/security/bulletin/MS02-029.asp
IIS 4.0/5.0： http://www.microsoft.com/technet/security/bulletin/MS02-028.asp
SQLXML： http://www.microsoft.com/technet/security/bulletin/MS02-030.asp

[duncanlo]

越方便,有時還更不便!

真怕上了hot-fix,又造成那個ap/service不行run...上也不是,不上也不是!

[jeffer]

越方便,有時還更不便!

自作聰明,標新立異,的作法太多. 常會招災.
新的功能,通常伴隨著新的 bug,新的漏洞.
唯有經的起時間考驗,才能勝出.

[acty]

越方便,有時還更不便!

真怕上了hot-fix,又造成那個ap/service不行run...上也不是,不上也不是!

據我所知   加實際經驗

windows 2000 的 SP2SRP1 不要裝

否則 Office 2000 or Offfice XP 裝不上去

[duncanlo]

據我所知   加實際經驗
windows 2000 的 SP2SRP1 不要裝
否則 Office 2000 or Offfice XP 裝不上去

就跟以前的NT4和MS SQL的問題一樣,
遇到這種真的粉幹,花大錢還找罪受...

[acty]

據我所知   加實際經驗
windows 2000 的 SP2SRP1 不要裝
否則 Office 2000 or Offfice XP 裝不上去

就跟以前的NT4和MS SQL的問題一樣,
遇到這種真的粉幹,花大錢還找罪受...

 其實以前灌 Microsoft 的 Commerce Server 更是誇張

網站上面還提供安裝程序表  從灌 NT 及 IE, Office, HotFix 等等
差一不都不行   難怪最近 MSNBC 有篇報導說
軟體越進步  但品質卻沒有相對提升