Microsoftは28日、同社製ソフトウェアに含まれる脆弱箇所について、2つのセキュリティ報告を発表した。今回の2件の報告で、Microsoftが今年行なったセキュリティ警告の総数は19となる。
2つの報告のうちで危険度が高いほうは、MicrosoftのInternet Information Services (IIS)サーバのサービス拒否(DoS)攻撃に対する脆弱性についてのもので、危険度は「重要」レベル。この報告には、IISソフトウェアにある4つの脆弱箇所を修正するパッチが含まれている。
「IIS 4.0、5.0、5.1を稼動させているユーザーは、是非ともパッチをインストールしてほしい」とMicrosoftのプログラム責任者Stephen Toulouseは話している。IIS 6.0とMicrosoft Windows Server 2003には、この脆弱性の影響はないという。
修正パッチが対応している4つの脆弱箇所のなかで最も深刻なのは、IISがオーサリングに使用しているWebDavサービスのなかにあるもの。これが悪用されると、IISサーバがリクエストに応答しなくなるおそれがある。この脆弱箇所は、IISのバージョン5.0と5.1に関係するが、4.0には影響がない。
その他2つの脆弱箇所は、「警告」ランクの危険度で、1つはDoS攻撃へつながるもの、そしてもう1つは「バッファオーバーラン」を引き起こし悪質なコードが実行されてしまうものだ。ただし、どちらの場合も、攻撃者が悪用するためには、あるウェブページ上に、仕掛けをした別のページをアップロードする必要がある。
Microsoftが出したもう1つのセキュリティ報告は、Windows Media ServicesのDoS攻撃に対する脆弱性についてで、危険度は「警告」レベルとされている。Windows Media Servicesソフトウェアの関連ファイルにあるバグを悪用すると、ISSサーバが反応しなくなるという内容だ。
Microsoftは2つのセキュリティ報告を新たに発表したほか、すでに発表した脆弱箇所を修正する新たなパッチを提供し、既存のパッチを別の脆弱箇所修正にも対応するよう更新するなど、発表済みの報告内容をアップデートした。同社は27日、Windows XP用のセキュリティアップデートをダウンロードしたユーザーの一部がインターネットに接続できなくなっていることが判明したため、同パッチの提供を中止している。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」