[內容說明:]
轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2015-0004
微軟發布 HTTP.sys 可能會允許遠端執行程式碼之資訊安全更新,美國國家標準技術研究所(NIST)的國家弱點資料庫(NVD)發布弱點編號 CVE-2015-1635 [1-2]。
HTTP.sys 為處理 HTTP 要求的核心模式趨動程式,允許遠端使用者利用 Request Header 未檢查 Range 參數範圍漏洞,進行攻擊行為;成功利用這個資訊安全風險的攻擊者,能以系統帳戶權限層級執行任意程式碼或阻斷服務攻擊(DoS)。
詳情請參閱附件