Webサービスの開発や運用に使われるMicrosoftの「ASP.NET」に未解決の脆弱性が見つかった問題で、Microsoftがセキュリティアドバイザリーを改訂し、この問題を突いた「限定的な攻撃」の発生を伝えた。
Microsoftは17日にアドバイザリーを公開した時点で攻撃の発生は確認されていないと述べていたが、20日になって、限定的な攻撃が横行し始めたと報告した。
アドバイザリーによると、この脆弱性は.NET Frameworkの全バージョンに存在する。攻撃者が問題を悪用した場合、標的とするサーバによって暗号化された「View State」などの情報を参照したり、標的とするサーバ上にある設定ファイル「web.config」などの情報を読み取ったりすることが可能になり、コンテンツが改ざんされる恐れもあるという。
Microsoftは現在、この脆弱性を解決するためのセキュリティアップデートを開発中だが、リリースの日時はまだ明らかにしていない。攻撃発生を受け、あたらめて同社の技術情報を参照してユーザーの環境にとって適切な措置を検討してほしいと呼び掛けている。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.