Microsoft、「ASP.NET」の脆弱性突く攻撃を確認

「ASP.NET」の未解決脆弱性を狙った「限定的な攻撃」の発生が確認されたという。

[ITmedia]

　Webサービスの開発や運用に使われるMicrosoftの「ASP.NET」に未解決の脆弱性が見つかった問題で、Microsoftがセキュリティアドバイザリーを改訂し、この問題を突いた「限定的な攻撃」の発生を伝えた。

　Microsoftは17日にアドバイザリーを公開した時点で攻撃の発生は確認されていないと述べていたが、20日になって、限定的な攻撃が横行し始めたと報告した。

　アドバイザリーによると、この脆弱性は.NET Frameworkの全バージョンに存在する。攻撃者が問題を悪用した場合、標的とするサーバによって暗号化された「View State」などの情報を参照したり、標的とするサーバ上にある設定ファイル「web.config」などの情報を読み取ったりすることが可能になり、コンテンツが改ざんされる恐れもあるという。

　Microsoftは現在、この脆弱性を解決するためのセキュリティアップデートを開発中だが、リリースの日時はまだ明らかにしていない。攻撃発生を受け、あたらめて同社の技術情報を参照してユーザーの環境にとって適切な措置を検討してほしいと呼び掛けている。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック