マイクロソフト、ASP.NETの定例外アップデート公開へ--ゼロデイ攻撃に対応

　Microsoftは米国時間2010年9月28日、すでに攻撃の対象となっているASP.NETの重大な脆弱性を修正する、定例外のセキュリティアップデートを公開する予定だ。

　この脆弱性は、ASP.NETアプリケーションで情報漏えいを引き起こすおそれがあり、アルゼンチンで開催された2010年のekopathyセキュリティカンファレンスで公に議論された。Microsoftはこの脆弱性を悪用する、「限定的な攻撃」と既存の回避策を迂回しようとする試みが行われていると述べている。

　この脆弱性について情報を公開した研究者であるJuliano Rizzo氏によれば、攻撃者は簡単にクッキーやView State、フォーム認証チケット、メンバーシップパスワード、ユーザーのデータ、そしてASP.NETフレームワークのAPIを用いて暗号化されたあらゆる情報を簡単に復号化できるという。

　Rizzo氏は、この脆弱性はインターネット上のウェブサイトの25％で使用されているフレームワークに影響を及ぼすと述べている。同氏は「この攻撃の影響は、サーバにインストールされているアプリケーションによって異なり、情報漏えいから完全なシステムのセキュリティ侵害まであり得る」と付け加えている。

　Rizzo氏の情報公開から1週間も経たないうちに、MicrosoftはWindows Server上で使用されるすべてのバージョンの.NET Frameworkに対し、深刻度が「重要」の定例外パッチを公開することを発表した。

　デスクトップ用のWindowsにも影響があるとされているが、ユーザーはコンピュータ上でウェブサーバを運用していなければ、危険はない。

　われわれのこの脅威の状況に関する包括的な監視結果に基づき、限定的な攻撃と現在の防御策や回避策を迂回しようとする継続的な試みが見られることから、顧客を保護するには定例外アップデートの公開が必要だと判断した。

　Microsoftは、このパッチは9月28日にMicrosoft Download Centerを通じてのみ提供されると述べている。

　このアップデートはまた、その後数日のうちにWindows UpdateおよびWindows Server Updateでも提供が開始される。