情報処理推進機構(IPA)は4月16日、WindowsのHTTPプロトコルスタック「HTTP.sys」の脆弱性(MS15-034)を狙う攻撃コードが公開されているとして注意喚起した。日本マイクロソフトが4月15日に配布した修正プログラムを適用するか、もしくはIISカーネルキャッシュを無効にすることで対策できる。
この脆弱性は、Windows内でHTTPプロトコルを処理するHTTP.sysに含まれるもの。Windowsシステムに対して、攻撃者が、特別に細工がほどこされたHTTP要求を送信した場合にリモートでコードが実行される恐れがある。IPAは、検証の結果、IIS7がインストールされている同脆弱性未対応のWindows Server 2008 R2が、攻撃コードによりOSが停止することを確認したとしている。
同脆弱性に関しては、トレンドマイクロが、OSごとブルースクリーン状態で強制終了させる攻撃が可能な実証コードが公開されていることを報告している。
