DLLs ISAPI que são criadas com bibliotecas estáticas MFC são vulneráveis a ataques de negação de serviço

Uma extensão de servidor ISAPI (Internet Server Application Programming Interface) que é criada usando o Microsoft Foundation Classes (MFC) em uma biblioteca estática pode estar vulnerável a ataques de negação de serviço (DoS).

Quando o MFC processa dados do método POST, MFC aloca espaço de buffer para armazenar os dados e decodifica os dados em uma lista de argumento para o método padrão de extensão de servidor ISAPI. Sob carga pesada, o código ISAPI do MFC produz argumentos que não são válidos. Quando o código do usuário tenta processar as informações, ocorre uma violação de acesso.

Uma correção suportada está agora disponível da Microsoft, mas destina-se somente a corrigir o problema descrito neste artigo. Aplique-o somente aos computadores que apresentarem esse problema específico. Pode ser nessa correção testes adicionais. Portanto, se você não tiver sido gravemente afetado por esse problema, a Microsoft recomenda que você aguarde o próximo service pack do Microsoft Visual Studio 6.0 que contém esse hotfix.

Para resolver esse problema imediatamente, contate o Atendimento Microsoft para obter a correção. Para obter uma lista completa dos números de telefone do Atendimento Microsoft do e informações sobre os custos de suporte, visite o seguinte site: Observação : em alguns casos, as taxas cobradas pelas ligações para chamadas de suporte podem ser canceladas se um profissional de suporte da Microsoft determinar que uma atualização específica resolverá o problema. Os custos de suporte normais serão aplicados a questões e problemas que não se qualificam à atualização específica em questão de suporte adicionais.

A versão em inglês dessa correção apresenta os atributos de arquivo (ou posteriores) listados na tabela a seguir. As datas e horas desses arquivos são listadas na acordo hora universal coordenada (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia fuso horário na ferramenta Data e hora no painel de controle.

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados no começo deste artigo.

Essa vulnerabilidade é somente nas bibliotecas Visual C++ MFC estáticas e não é exposta nas MFC dynamic-link libraries (DLLs).

Para usar essa correção, você precisa uma recompilação da extensão ISAPI afetada com os novos arquivos fornecidos nessa correção. Copie os arquivos atualizados nessa correção sobre os arquivos existentes. Por padrão, arquivos existentes que devem ser atualizados aparecem no seguinte diretório: