美國計算機緊急反應組近日透露，上周發現的  IIS6 WebDAV 漏洞已經被用在攻擊中，這個由計算機安全專家 Nikolaos Rangos 發現的漏洞可以通過一個偽造的  HTTP  請求，查看并上傳文件到 IIS6 服務器，攻擊利用了微軟處理 Unicode token 過程中的漏洞。

微軟在一份聲明中表示，尚未聽說此類攻擊的發生，但他們正在對此進行觀察，并將提供安全顧問為用戶提供幫助。漏洞只影響那些在 IIS6 中啟用了 WebDAV 協議的系統，WebDAV 用來在 Web 上共享文檔。

攻擊者可以無需授權，查看那服務器的文件，并上傳文件到服務器，獨立安全專家 Thierry Zoller 確認了 Rangos 的發現，不過 Zoller 表示他還沒有發現可以在被攻擊服務器上運行任何惡意程序的方法。Zoller 同時表示，IIS5 和 IIS7 目前不受影響，但微軟其它使用 WebDAV 技術的產品可能也面臨危險。他建議用戶在收到微軟補丁之前先禁用 WebDAV 協議。

Rangos 在采訪中表示，使用了 WebDAV 技術的 Exchange 服務器與 SharePoint 服務器都未受到威脅。

Cisco 也發表了同樣的安全警告，他們在一份發表在自己官方網站的安全警告中表示，那些使用了 IIS6 WebDAV 技術，并且站點中有敏感文件的站點管理員應該采取措施，因為攻擊代碼已經被公布于眾。

在 IIS6 中禁用 WebDAV 非常簡單，只需在 Windows 2003  的安裝和卸載 Windows 組件中，找到應用程序服務器部分，并進入 IIS 組件選項，去掉 WebDAV 前面的勾選，然后重新啟動  IIS 即可 - 譯者。

本消息來源：http://www.techworld.com/security/news/index.cfm?newsid=116029
中文翻譯來源：COMSHARP CMS 官方網站