ニュース	2002年6月13日　05:21 PM 更新

マイクロソフト、3件のセキュリティ警告を公開

　マイクロソフトは12日、あらたに3件のセキュリティ警告を発表した。対象となるシステムは、IIS4.0/5.0、WindowsNT4.0/2000/XP、SQL Server 2000である。いずれも深刻度は「高」から「中」となっている。

　まず、IIS（Internet Information Server）4.0および5.0が対象のセキュリティホールだが、チャンク転送エンコードによるデータ転送でヒープのオーバーランが起きるというもの。IISが不正終了させられたり、任意のコードを実行されるおそれがある。ウェブアプリケーションでHTRを使用していない場合は、HTRをオフにすることで回避できる。HTRをオフにできない場合は、マイクロソフトが提供している修正を適用する必要がある。

　2番目、WindowsNT4.0/2000/XPのあらたなセキュリティホールだが、これはRAS（Remote Access Service）の電話帳に不正な値を書き込むことで、RAS接続時にバッファオーバーランを引き起こせる、というもの。システム異常を起こしたり、LocalSystem権限で任意のコードを実行されるおそれがある。この脆弱性を利用するには対話的ログオンが必要なため、一般ユーザの対話ログオンを許可しているシステムでは、パッチの導入が必須となる。

　3つめ、SQL Server 2000のセキュリティホールは、SQLXMLに含まれる2つの脆弱性によるもの。ひとつは、SQLXML ISAPIエクステンションに未チェックのバッファがあり、バッファオーバーラン攻撃を受けるおそれがあるというもの。もうひとつは、ウェブサーバとSQLXMLを組み合わせて使用する場合に、そのサイトを訪れたユーザに対して、本来より高い権限のゾーン（イントラネットゾーンなど）でスクリプトを実行させるよう“注入”できるというもの。後者の場合、被害者はSQL Server 2000の運用者ではなく、その利用者となる。

　いずれも、クライアントシステムにはあまり関係のない脆弱性だが、2番目に触れたRASについてはクライアントシステムでも影響を受けるおそれがある。複数ユーザで使用するシステムでは修正パッチを導入することをお勧めする。

関連リンク
マイクロソフト

[記事提供：RBBTODAY ]

---