Microsoftが自社製品のエクスプロイト公開？

SANSによると、IISのセキュリティ問題への対処として、Microsoftはパッチではなくエクスプロイトの再現方法を公開した。

[ITmedia]

　MicrosoftがInternet Information Server（IIS）のセキュリティ問題への対処として、パッチではなくエクスプロイトを公開していると、SANS Internet Storm Centerが指摘した。

　SANSによると、この問題ではIIS 5.0と5.1のエクスプロイトが12月に発見され、5月下旬に公開された。IIS 5.xには設計上、ヒットハイライト機能を使って基本的な認証を回避できてしまう問題があるという。

　これに対してMicrosoftは、このエクスプロイトを再現するやり方を公開するという「少々異例の対応」を取ったとSANSは解説。「言い換えれば、Microsoftは自社の製品の問題を悪用する方法を公言している」という。

　SANSによれば、公開されたエクスプロイトでは情報流出にスポットが当てられているが、コードを実行できてしまう可能性も、未検証ながらがほのめかされているという。

　Microsoftがこの問題について解説した技術文書「328832」では、症状として「匿名ユーザーにアクセスが許されるべきではない文書でも、そのユーザーがヒットハイライトのURLを知っていれば、文書が返ってくる可能性がある」と説明。この動作は「設計によるもの」だと述べている。

　同社は全ユーザーに対し、IIS 6.0へのアップグレードを強く勧告している。しかしSANSでは、IIS 6.0にアップグレードするためにはWindows 2000／XPからWindows 2003に有料でアップグレードする必要があると指摘。Microsoftはエクスプロイトではなく、パッチあるいは少なくとも回避策を公表すべきだと批判している。