DLLs ISAPI que são criadas com bibliotecas estáticas MFC são vulneráveis a ataques de negação de serviço

Uma extensão de servidor ISAPI (Internet Server Application Programming Interface) criado usando o MFC (Microsoft Foundation Classes) em uma biblioteca estática pode ser vulnerável a ataques de negação de serviço (DoS).

Quando o MFC processa dados do método POST, MFC aloca espaço em buffer para armazenar os dados e, em seguida, decodifique os dados em uma lista de argumento para o método padrão de extensão ISAPI do servidor. Sob carga pesada, o código da ISAPI do MFC produz os argumentos que não são válidos. Quando o código de usuário tenta processar as informações, ocorre uma violação de acesso.

Uma correção suportada agora está disponível na Microsoft, mas destina-se somente a corrigir o problema descrito neste artigo. Aplique-a somente em computadores que apresentarem esse problema específico. Pode ser nessa correção submetida a testes adicionais. Portanto, se você não tiver sido gravemente afetado por esse problema, a Microsoft recomenda que você aguarde o próximo service pack do Microsoft Visual Studio 6.0 que contém esse hotfix.

Para resolver esse problema imediatamente, entre em contato com suporte técnico para obter a correção. Para obter uma lista completa de números de telefone do Atendimento Microsoft e informações sobre os custos de suporte, visite o seguinte site da Microsoft: Observação : em alguns casos, as taxas cobradas pelas ligações para o suporte podem ser canceladas se um profissional de suporte da Microsoft determinar que uma atualização específica resolverá o problema. Os custos de suporte normais serão aplicados a questões de suporte adicionais e problemas que não se qualificam à atualização específica em questão.

A versão em inglês dessa correção apresenta os atributos de arquivo (ou posteriores) listados na tabela a seguir. As datas e horários destes arquivos estão listados em formato tempo universal coordenado (UTC). Quando você exibe as informações de arquivo, ele é convertido para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora no Painel de controle.

Microsoft confirmou a que este é um problema nos produtos Microsoft listados no começo deste artigo.

Essa vulnerabilidade é somente nas bibliotecas estáticas Visual C++ MFC e não é exposta nas bibliotecas de vínculo dinâmico (DLLs) do MFC.

Para usar essa correção, é necessário uma recompilação da extensão ISAPI afetado com os novos arquivos fornecidos nessa correção. Copie os arquivos atualizados nessa correção sobre os arquivos existentes. Por padrão, arquivos existentes que precisam ser atualizados aparecem no seguinte diretório: