跳至主內容

微軟視窗網際網路驗證服務多個漏洞(2009年12月09日)

最後更新 2011年01月28日 發佈日期: 2009年12月09日 2516 觀看次數

風險: 中度風險

1. 網際網路驗證服務記憶體損毀漏洞

在網際網路驗證服務上實作受保護的可延伸驗證通訊協定 (PEAP) 時,存在遠端執行程式碼漏洞。 處理 PEAP 驗證嘗試時,將伺服器接收到的訊息錯誤地複製到記憶體,因此出現這個漏洞。 成功利用此漏洞的攻擊者可以取得受影響系統的完整控制權。

2. MS-CHAP 驗證略過漏洞

網際網路驗證服務存在權限提高的漏洞。 攻擊者若是傳送蓄意製作的 Microsoft Challenge Handshake 驗證通訊協定第 2 版 (MS-CHAP v2) 驗證要求,可能使用特定授權使用者的權限存取網路資源。