MicrosoftはIISの未解決の脆弱性に関するアドバイザリーを公開して、回避策の実施を呼び掛けている。
Microsoftは9月2日、Internet Information Services(IIS)に存在する未解決の脆弱性についてアドバイザリーを公開し、ユーザーに注意を呼び掛けた。
アドバイザリーによると、脆弱性はIIS 5.0、5.1、6.0のFTPサービスに存在し、Windows 2000 SP4、Windows XP SP2/SP3/Professional x64版SP2、Windows Server 2003 SP2/x64版SP2/with SP2 for Itanium-based Systemsが影響を受ける。SANS Internet Storm CenterやUS-CERTは8月31日にセキュリティ研究者がこの脆弱性を突くエクスプロイトを公開していると伝えていた。
Microsoftでは、現時点で被害などは確認していないという。脆弱性を悪用された場合、FTPサービスのアクセス権を持つ攻撃者がスタックバッファオーバーフローを誘発し、ローカル上で任意のコードを実行できてしまう。
同社では脆弱性を解決するためのセキュリティアップデートを開発中で、更新プログラムを通じて提供する予定。当面の回避策として、FTPサイトのルートディレクトリのNTFSファイルシステムに対するアクセス許可を変更して、FTPユーザーによるディレクトリ作成を禁止することや、信頼できない匿名ユーザーにFTP書き込みアクセスを許可しない、FTPサービスを無効するなどの方法を紹介している。
Copyright © ITmedia, Inc. All Rights Reserved.