【IT专家网独家】据说，因特网信息服务器的开发是源于一个特性，而不是一个瑕疵，微软已经为瑕疵公布了探测代码，而没有提供一个工作区或者补丁。

　　这次探测，是在2006年12月15日发现的，在今年的5月份已经公开了，是针对IIS5.0 的。通过设计，5.x版本可以允许通过使用“点击高亮”特性来绕过基本认证。“点击高亮”特性可以被未经认证的用户用来获得他们本来权限得到的文档。

　　至少，这个特性留给IIS 5.x的用户们一个有价值的数据拦截的方式。尽管这个开发至今还没有用于系统接管，但是已经发生很大的变化，互联网风暴中心的Swa Frantzen说。

　　执行代码的能力是“不可探测的，但是是有线索的，” Frantzen在他的博客中写道，他的博客发表在SANS的互联网风暴中心安全警报网站上。

　　ISC已经追踪到了公共探测，很明显目标定位于泄漏受保护的信息。

　　根据微软所说，Webhits.dll的高亮方式只依赖于5.x版本的微软的Windows NT ACL(访问控制列表)配置，这一点已经写在它的知识库第328832号文章中了。

　　微软“强烈推荐”所有的用户都将运行在微软Windows 服务器2003版上的IIS(互联网信息服务)更新到6.0版本。IIS6.0显著增加了网络基础设施安全型，“公司在他们的知识库中的文章中写道。”

　　Weriuan现在正在发布针对Windows Server 2003的互联网信息服务服务器IIS6.0版本。对于Windows Vista，IIS已经升级到了7.0版本，针对Windows XP专业版的是IIS 5.1。

　　然而，除了力推升级，以便于获得更高的安全性之外，微软还在把bug当作不成问题的问题来处理，没有提供任何的工作区，也没有迹象显示他们将会推出5.0和5.1版本的补丁。“这种行为是有目的的，”知识库文章中说。

　　不但没有提供补丁或者工作区，微软还公布了用来重现探测的6个步骤——这一反应有点“非典型性，”Frantzen说。“微软告诉全世界如何探测他们正在被用户使用着的产品。不是对此非常感兴趣的人还不知道呢，但是我们想要从微软那里获得的不是探测，而是补丁或者一个至少还差不多的工作区，” Frantzen写道。

　　微软给出的惟一一个辩护信息就是要求用户们升级到6.0版本——升级既不免费也不容易，Frantzen指出。他提供了这些可能的工作区：

　　如果你不使用网站点击功能，那么一个简单的工作区可以删除这些映射到.htw文件的映射。没有了脚本映射，IIS应该把这些文件当作静态内容来处理。

　　尝试使用应用层的防火墙(过滤器)。如果你有可以当作临时措施的基础设置，那么你在升级IIS之前，解决实际的问题。