[內容說明:]

轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2015-0004

微軟發布 HTTP.sys可能會允許遠端執行程式碼之資訊安全更新，美國國家標準技術研究所(NIST)的國家弱點資料庫(NVD)發布弱點編號 CVE-2015-1635 [1-2]。

HTTP.sys為處理 HTTP要求的核心模式趨動程式，允許遠端使用者利用 Request Header 未檢查 Range 參數範圍漏洞，進行攻擊行為；成功利用這個資訊安全風險的攻擊者，能以系統帳戶權限層級執行任意程式碼或阻斷服務攻擊(DoS)。

詳情請參閱附件