Windowsサーバにバッファオーバーフローの脆弱性

　Microsoftは、広く利用されているWindowsサーバソフトに欠陥があることを認めた。

　Microsoftは米国時間11月30日に、この脆弱性がWindows Internet Name Service（WINS）のなかに存在することを明らかにした。WINSは、Windows NT 4.0 Server、Windows 2000 Server、Windows Server 2003などのサーバ製品に含まれるネットワークインフラ用コンポーネント。同社は、この脆弱性を修正するアップデートの準備を進めるとともに、この問題の暫定的な回避策を公開した。

　この問題は、セキュリティソフトベンダーのImmunityが26日に最初に明らかにしたものだが、Microsoftではこれを「リモートバッファオーバーフロー」の欠陥としている。 この脆弱性があるシステムでは攻撃者が悪質なソフトを実行できてしまうという。

　Microsoftによると、Windows 2000 Professional、Windows XP、Windows Meの各製品は、このセキュリティホールの影響を受けないという。また、セキュリティベンダーのSecuniaでは、この欠陥を「やや深刻」に分類している。

　WINSはサーバ名設定ツールで、ネットワーク上にある特定のコンピュータのIPアドレスを識別するために利用されている。この問題は、WINS搭載サーバのコミュニケーションを可能にするソフトウェアの複製機能に影響を及ぼす。Microsoftでは、このインフラツールがデフォルトでは有効になっていないことを指摘し、インターネットの窓口になるサーバでは一般的にネットワーク管理者がこの機能を使っていない、としている。

　同社は、WINSの欠陥を実際に悪用した例は確認できていないが、今後も状況を監視していく、と語っている。

　Microsoftの関係者によると、同社はこの脆弱性を完全に解決する修正の準備に取り組んでおり、これを通常の月例アップデートプロセスの一環としてリリースする計画だという。同社はまた、WINSが不要な場合、当面は同機能を無効にするよう顧客に勧めている。また、TCPやUDPの42番ポートなど複数のポートをネットワークファイヤウォールでブロックするか、IPセキュリティを使ってWINS対応サーバ間のトラフィックを保護することも提案している。MicrosoftのKnowledge Baseウェブサイトには、このほかの回避策に関する詳細も公開されている。

　WINSの欠陥が開示されたことで、セキュリティベンダー各社が欠陥公表前にソフトウェアベンダーに対して与えるべき脆弱性修正のための時間を巡る論争が再燃している。Microsoftの関係者は、「Immunityが無責任な形でこの脆弱性を公表し、その結果として問題を悪用するツールが公開されたことを遺憾に思う」としている。

　「Microsoftは、アップデートで対処できていない脆弱性を利用するエクスプロイトコードの存在が、顧客を犯罪者による攻撃の危険にさらすものと考える」（同社関係者）

　この関係者はさらに、「Microsoftは今後も、ソフトウェアの脆弱性については責任ある開示をお願いしていく。われわれは脆弱性を直接ベンダーに報告するという常識がだれにとっても最善の方法だと考える」と付け加えた。