发布日期：2009-04-14
更新日期：2009-04-15

受影响系统：

Microsoft Windows XP x64 SP2
Microsoft Windows XP x64
Microsoft Windows XP SP3
Microsoft Windows XP SP2
Microsoft Windows Vista
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 SP1
Microsoft Windows 2000SP4

描述：

---

BUGTRAQ  ID: 34437
CVE(CAN) ID: CVE-2009-0089

Microsoft Windows是微软发布的非常流行的操作系统。

当应用程序调用Windows HTTP服务与远程Web服务器创建连接时，WinHTTP仅对主机试图连接的原始站点的证书验证URL是否为完全合格的域名，特定的DNS欺骗攻击可能将连接转发到拥有该特定主机有效证书但不是WinHTTP初始化连接所到页面有效证书的不同Web服务器上，这可能导致WinHTTP错误的认为远程Web服务器的证书为可接受。由于WinHTTP的用户交互依赖于应用程序，因此用户可能不会得到上述差异的警告。

<*来源：Wan-Teh Chang
        Cem Paya
  
  链接：http://secunia.com/advisories/34677/
        http://www.microsoft.com/technet/security/bulletin/MS09-013.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA09-104A.html
*>

建议：

---

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS09-013）以及相应补丁:
MS09-013：Vulnerabilities in Windows HTTP Services Could Allow Remote Code Execution (960803)
链接：http://www.microsoft.com/technet/security/bulletin/MS09-013.mspx?pf=true

浏览次数：2810
严重程度：0（网友投票）