微软：大规模网站遭攻击不是我们的错

上个周五的晚些时候，微软否认了在其Web和SQL Server软件中的漏洞被用来攻击成千上万的互联网网页。

【IT专家网独家】上个周五的晚些时候，微软否认了在其Web和SQL Server软件中的漏洞被用来攻击成千上万的互联网网页。

微软安全响应中心的通信经理Bill Sisk 在一份博客的日志中谈到，“我们的调查显示出并不存在新的或未知的漏洞正在被利用。这场浪潮并不是互联网信息服务(IIS)或Microsoft SQL Server中的漏洞造成的。”

Sisk说，这个帖子是为了回应有报告称有近50万个网页(包括一些属于联合国的网页)已经遭受了SQL注入式攻击的破坏。一旦遭到攻击，这些站点就会被篡改，并将恶意软件下载到访问者的个人电脑中。

在上周五的早些时候，Panda Security说，它已经通知了微软公司，告知了熊猫称之为公司Web服务器、IIS中的一个“安全问题”。然而，熊猫又突然停止了宣称此问题是一个“漏洞”。

Sisk认为这些站点根本就没有遭受所谓的SQL注入式攻击。“这些站点的问题与IIS6.0、ASP、ASP.net或微软的SQL技术无关。”

微软的IIS团队也插进来说，这些攻击是利用软件中的任何已知的或未知的漏洞。一位IIS的产品经理Bill Staplesy周五晚上在向软件的支持论坛更新帖子时说，“对于终端用户来说，这项调查还显示出，在IIS、SQLServer，IE浏览器或微软的其它客户端软件中并不存在未打补丁的漏洞迹象。”

而且，虽然有假设称这些攻击与在4月17日的报告中所提到的一个漏洞有关，Sisk说那也是不真实的。他说，“我们已经确定这些攻击与微软951306号安全报告(Microsoft Security Advisory 951306)毫无关系。”

Sisk和Staples敦促网站的开发人员要遵循微软的保护其域免受SQL注入式攻击的指导方针。

[作者：阿林]