マイクロソフト、IISのゼロデイ脆弱性を警告

　Microsoftのサーバ製品でパッチの用意されていない脆弱性が確認された。Microsoftが米国時間5月18日午後、警告を発した。

　Microsoftのセキュリティアドバイザリによると、同社は現在、「Internet Information Services（IIS）に存在する可能性のある新たな脆弱性が報告され、マイクロソフトはその報告を調査中」だという。

　この脆弱性は、特定のウェブサーバ運用環境に存在するとMicrosoftは説明している。

　Microsoftは「IISのWebDAV拡張がHTTPのリクエストを処理する方法に特権の昇格の脆弱性が存在する」と述べ、「攻撃者がこの脆弱性を悪用した場合、特別に細工した匿名のHTTPリクエストを作成し、通常は認証が必要な場所へアクセスできる可能性がある」と続けた。

　Microsoftによると、この脆弱性を悪用した攻撃は確認されていないという。今後の対応としては、月例パッチの一部としてセキュリティ更新プログラムを提供するか、深刻度によっては月例パッチのスケジュールとは別にセキュリティ更新プログラムを提供する可能性もあるとしている。

　同時に、Microsoftはこの脆弱性の影響を緩和する助けになる設定情報を、自社ウェブサイト上で公開している。