4月20日消息，微軟星期四（4月17日）發(fā)布安全警告稱，其大多數(shù)版本的Windows存在一個安全漏洞。但是，微軟沒有許諾要修復(fù)這個安全漏洞，也沒有說它是否要修復(fù)這個安全漏洞和什么時候發(fā)布一個補(bǔ)丁。微軟在三個星期前還拒絕承認(rèn)這個問題是一個安全漏洞。

微軟在安全公告中把這個安全漏洞歸類為提升權(quán)限的安全漏洞。利用這個安全漏洞能夠給攻擊者訪問被攻破的計算機(jī)的更大的權(quán)限。這個安全漏洞影響到Windows XP專業(yè)版SP2和所有版本的Windows Server 2003、Windows Vista和最新的Windows Server 2008。

微軟稱，雖然這個安全漏洞存在于Windows操作系統(tǒng)中，但是，攻擊者能夠通過在微軟Web服務(wù)器“互聯(lián)網(wǎng)信息服務(wù)”上運(yùn)行的客戶Web應(yīng)用程序來利用這個安全漏洞。通過SQL服務(wù)器也能夠利用這個安全漏洞。

nCircle網(wǎng)絡(luò)安全公司安全運(yùn)營經(jīng)理Andrew Storms說，Web應(yīng)用程序以較低的權(quán)限運(yùn)行。利用這個安全漏洞能夠把這個權(quán)限提升到本地系統(tǒng)賬戶的權(quán)限，離管理員權(quán)限不遠(yuǎn)了。你能夠使用本地系統(tǒng)賬戶做很多事情。

阿根廷的一位研究人員和安全顧問Cesar Cerrudo幾個星期前說，他要在即將召開的一個會議上披露一個Windows安全漏洞。Cerrudo在3月末說，這個安全漏洞能夠繞過包括Windows Server 2008在內(nèi)的最新版本的Windows操作系統(tǒng)的安全措施。

Cerrudo說，通過互聯(lián)網(wǎng)信息服務(wù)可以實(shí)施這個攻擊。通過在NetworkService（網(wǎng)絡(luò)服務(wù)）、LocalService（本地服務(wù)）和LocalSystem（本地系統(tǒng)）等不同的賬戶下運(yùn)行Web應(yīng)用程序能夠緩解這個風(fēng)險。

微軟安全反應(yīng)中心發(fā)言人Bill Sick當(dāng)時說，Cerrudo披露的信息是一個軟件設(shè)計瑕疵，不是真正的安全漏洞。他還不重視這個安全漏洞，說Cerrudo的演示沒有說明攻擊者能夠獲得訪問這些可信賴的賬戶的方法。

Cerrudo在阿聯(lián)酋迪拜舉行的“HITBSecConf2008”會議上演示了這個安全漏洞之后，微軟承認(rèn)了這個安全漏洞并且向用戶發(fā)布了安全警告。