MSが「ASP.NET」の脆弱性を解決――Webアプリ情報が流出する恐れ

[ITmedia]

　米Microsoftは9月28日（現地時間）に臨時のセキュリティ情報を公開し、Webサービスの開発や運用に使われる「ASP.NET」の脆弱性を解決した。更新プログラムはまずDownload Centerで提供を開始し、Windows UpdateやWindows Server Update Servicesなどを通じた自動配信は準備が整い次第開始する予定。

　同社によると、ほぼ全バージョンの.NET Frameworkに情報流出の脆弱性が存在する。悪用された場合、サーバ上の暗号化されたデータやweb.configなどの情報が読み取られる可能性がある。

　既にこの問題を突いた攻撃が横行しており、情報が流出すれば深刻な事態になりかねないと判断して、臨時更新プログラムの公開に踏み切った。深刻度については4段階で上から2番目の「重要」と評価している。

　しかし米セキュリティ機関のSANS Internet Storm Centerでは、この脆弱性によってWebアプリケーションの基本的なセキュリティが損なわれ、例えばネット通販サイトなどのWebアプリケーションサーバ上にあるファイルが攻撃者に読まれてしまう危険があると解説する。攻撃が横行しているという現状から判断しても、「できるだけ早く更新プログラムを導入すべきだろう」としている。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら