微软标记IIS漏洞可能会导致CPU使用率100%激增

DoS漏洞包括发送恶意的HTTP/2连接，这可能会减慢或冻结用户的系统。微软发布了安全警报，概述了其网络服务器技术的漏洞。如果被利用，它可能会阻止或减慢整个系统的速度。

F5 Networks的Gal Goldshtein首次检测到的拒绝服务(DoS)问题将影响与微软的互联网信息服务(IIS)平台的HTTP/2连接，该平台是为与Windows NT操作系统一起使用而构建的。

恶意的HTTP/2请求可以发送到运行IIS的Windows服务器，这将导致系统的CPU利用率飙升到100%，直到恶意连接被IIS杀死，该公司昨天发布的咨询报告对此进行了总结。

安全警报表示："HTTP/2规范允许客户端使用任意数量的SETTINGS参数指定任意数量的SETTINGS帧。

在某些情况下，过多的设置会导致服务变得不稳定，并可能导致临时CPU使用率激增，直到达到连接超时并关闭连接

微软尚未找到任何缓解措施或解决方案，但建议用户在2月份安装"不安全更新"，并查看"知识库文章"，该文章在编写404页链接时发现一条错误消息-否。

该公司还试图通过为用户提供定义设置HTTP/2请求中包含的参数的阈值的功能来缓解该漏洞。

微软补充说，在用最近发布的累积更新修补系统后，系统管理员可以自定义HTTP/2设置阈值，以防止错误减缓或阻止其IIS网络服务。

最近，微软不得不面对一些备受瞩目的漏洞，尤其是当它推出Windows 10操作系统的重大升级时。因此，该公司已经开始对2020年到期的主要更新进行早期测试，比通常的流程要早得多。