.
マイクロソフト、Windows 2000+IIS 5.0用のセキュリティ修正プログラムを公開
セキュリティ修正プログラムを適用しない回避策とツールも公開されている
(03/03/18)
マイクロソフト(株)は18日、Windows 2000に搭載されているIIS 5.0において深刻度が最高の“緊急”レベルに定義されたセキュリティ問題(MS03-007)があることを明らかにし、同問題対策用のセキュリティ修正プログラムを公開した。現在同社のWebサイトから無償でダウンロードできる。
これはWindowsコンポーネントの1つであるIIS 5.0の“未チェックのバッファ”に起因するセキュリティ問題で、Windows 2000にIISをインストール・起動しているパソコンに対して、悪意あるユーザーから特殊なHTTP要求が送信されたときに、同パソコン上で任意のコードを実行されてしまうという。同社では可能な限り同修正プログラムを適用することを推奨しているが、適用するパソコンにはあらかじめWindows 2000用アップデートプログラム集のSP2またはSP3を適用しておく必要がある。なお、サーバー運用の関係上などで今回公開されたセキュリティ修正プログラムを適用できない場合には、同社が提供する「IIS Lockdown Wizard」や「URL Buffer Size Registry Tool」を利用することで、脆弱性の悪用を一時的に回避することができるとのこと。
□Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害される (MS03-007)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-007.asp?frame=true
(竹元 克己)