マイクロソフト、ASP.NETの定例外アップデートを公開

　Microsoftは米国時間9月28日、ASP.NETフレームワークの脆弱性を修復する緊急パッチを発表した。この脆弱性は、ウェブサイトにあるデータの読み取りや改ざんに利用されるおそれがある。

　同社のアドバイザリによると、深刻度が「重要」とされたこのセキュリティホールは、OSに「Windows Server」を使用している場合.NETフレームワークの全バージョンに影響するが、「Windows」のPC向けOSでは、ウェブサーバを稼働している場合を除き脆弱性はないという。

　この脆弱性は、9月17日にMicrosoftによって公表され、その後限定的な攻撃に利用されていることが確認されていた。

　パッチはまずMicrosoft Download Centerだけで提供され、数日中にWindows UpdateやWindows Server Update Servicesを通じて利用可能になるという。脆弱性の詳細はこちらのセキュリティアドバイザリに掲載されている。

　Lumensionで脅威ベクトルセキュリティおよび法科学アナリストを務めるPaul Henry氏は、米CNETに対し、この問題ではソフトウェアがエラーメッセージで提供する情報量が多すぎたため、データを保護する暗号技術へのブルートフォース（総当たり）攻撃の洗練が可能になっていたと説明した。

　「こうしたASP.NET攻撃で用いられる方法論はかなり古い。この問題の回避策は、どのエラーにも共通のエラーページを提示するものだった。今回のパッチは、自動的に処理することで、回避策の必要をなくすものとみられる」（Henry氏）

　nCircleでセキュリティ事業担当ディレクターを務めるAndrew Storms氏は、次のように述べた。「少し変わっているのは、今日のパッチ公開がWindows Updateで直ちに利用できないということだ。管理者も個人ユーザーも、手作業でパッチをダウンロードして手作業でインストールする必要がある。このバグは、Internet Information Services（IIS）のウェブサイトを運用しているネットワーク管理者に危険が大きいものであるため、手作業のダウンロードはおそらく、パッチのできるだけ早い公開と利便性を合理的に折衷した結果だろう」