編集部からのお知らせ
SNS分析のトレンドまとめ
注目「Googleのクラウド事業を読み解く」

マイクロソフト、ASP.NETの定例外アップデートを公開

文:Elinor Mills(CNET News) 翻訳校正:緒方亮、高森郁哉

2010-09-29 13:24

 Microsoftは米国時間9月28日、ASP.NETフレームワークの脆弱性を修復する緊急パッチを発表した。この脆弱性は、ウェブサイトにあるデータの読み取りや改ざんに利用されるおそれがある。

 同社のアドバイザリによると、深刻度が「重要」とされたこのセキュリティホールは、OSに「Windows Server」を使用している場合.NETフレームワークの全バージョンに影響するが、「Windows」のPC向けOSでは、ウェブサーバを稼働している場合を除き脆弱性はないという。

 この脆弱性は、9月17日にMicrosoftによって公表され、その後限定的な攻撃に利用されていることが確認されていた。

 パッチはまずMicrosoft Download Centerだけで提供され、数日中にWindows UpdateやWindows Server Update Servicesを通じて利用可能になるという。脆弱性の詳細はこちらのセキュリティアドバイザリに掲載されている。

 Lumensionで脅威ベクトルセキュリティおよび法科学アナリストを務めるPaul Henry氏は、米CNETに対し、この問題ではソフトウェアがエラーメッセージで提供する情報量が多すぎたため、データを保護する暗号技術へのブルートフォース(総当たり)攻撃の洗練が可能になっていたと説明した。

 「こうしたASP.NET攻撃で用いられる方法論はかなり古い。この問題の回避策は、どのエラーにも共通のエラーページを提示するものだった。今回のパッチは、自動的に処理することで、回避策の必要をなくすものとみられる」(Henry氏)

 nCircleでセキュリティ事業担当ディレクターを務めるAndrew Storms氏は、次のように述べた。「少し変わっているのは、今日のパッチ公開がWindows Updateで直ちに利用できないということだ。管理者も個人ユーザーも、手作業でパッチをダウンロードして手作業でインストールする必要がある。このバグは、Internet Information Services(IIS)のウェブサイトを運用しているネットワーク管理者に危険が大きいものであるため、手作業のダウンロードはおそらく、パッチのできるだけ早い公開と利便性を合理的に折衷した結果だろう」

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    マンガで解説、移行済みの担当者にも役立つ! Windows10移行&運用ガイド

  2. クラウドコンピューティング

    カギは物理世界とクラウドの接続あり!成果が出やすいIoT活用のアプローチを知る

  3. クラウドコンピューティング

    IoTにはこれだけのサイバー攻撃リスクが!まずはベストプラクティスの習得を

  4. セキュリティ

    エンドポイントの脅威対策をワンストップで提供 現場の負荷を軽減する運用サービス活用のススメ

  5. クラウドコンピューティング

    家庭向けIoT製品の普及とともに拡大するセキュリティとプライバシー問題─解決策を知ろう

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]