IISサーバとWindows Media Servicesに、新たな脆弱箇所が見つかる

　Microsoftは28日、同社製ソフトウェアに含まれる脆弱箇所について、2つのセキュリティ報告を発表した。今回の2件の報告で、Microsoftが今年行なったセキュリティ警告の総数は19となる。

　2つの報告のうちで危険度が高いほうは、MicrosoftのInternet Information Services (IIS)サーバのサービス拒否（DoS）攻撃に対する脆弱性についてのもので、危険度は「重要」レベル。この報告には、IISソフトウェアにある4つの脆弱箇所を修正するパッチが含まれている。

　「IIS 4.0、5.0、5.1を稼動させているユーザーは、是非ともパッチをインストールしてほしい」とMicrosoftのプログラム責任者Stephen Toulouseは話している。IIS 6.0とMicrosoft Windows Server 2003には、この脆弱性の影響はないという。

　修正パッチが対応している4つの脆弱箇所のなかで最も深刻なのは、IISがオーサリングに使用しているWebDavサービスのなかにあるもの。これが悪用されると、IISサーバがリクエストに応答しなくなるおそれがある。この脆弱箇所は、IISのバージョン5.0と5.1に関係するが、4.0には影響がない。

　その他2つの脆弱箇所は、「警告」ランクの危険度で、1つはDoS攻撃へつながるもの、そしてもう1つは「バッファオーバーラン」を引き起こし悪質なコードが実行されてしまうものだ。ただし、どちらの場合も、攻撃者が悪用するためには、あるウェブページ上に、仕掛けをした別のページをアップロードする必要がある。

　Microsoftが出したもう1つのセキュリティ報告は、Windows Media ServicesのDoS攻撃に対する脆弱性についてで、危険度は「警告」レベルとされている。Windows Media Servicesソフトウェアの関連ファイルにあるバグを悪用すると、ISSサーバが反応しなくなるという内容だ。

　Microsoftは2つのセキュリティ報告を新たに発表したほか、すでに発表した脆弱箇所を修正する新たなパッチを提供し、既存のパッチを別の脆弱箇所修正にも対応するよう更新するなど、発表済みの報告内容をアップデートした。同社は27日、Windows XP用のセキュリティアップデートをダウンロードしたユーザーの一部がインターネットに接続できなくなっていることが判明したため、同パッチの提供を中止している。