Microsoftの「ASP.NET」に情報流出の脆弱性

Webサービスの開発や運用に使われる「ASP.NET」に未解決の脆弱性が見つかったとして、Microsoftがアドバイザリーを公表した。

[ITmedia]

　Webサービスの開発や運用に使われる米Microsoftの「ASP.NET」に存在する未解決の脆弱性に関する情報が公表された。Microsoftは9月17日付でアドバイザリーを公開し、当面の対策などを紹介している。

　Microsoftによれば、この脆弱性は.NET Frameworkの全バージョンに存在する。攻撃者が問題を悪用した場合、標的とするサーバによって暗号化された「View State」などの情報を参照したり、標的とするサーバ上にある設定ファイル「web.config」などの情報を読み取ったりすることが可能になり、コンテンツが改ざんされる恐れもあるという。

　17日の時点でMicrosoftは、この脆弱性を悪用しようとする攻撃が発生したとの情報は入っていないとしている。

　Microsoftは調査を終えた時点でこの脆弱性を解決するための更新プログラム配布などの措置を取る方針。それまでの間に予想される攻撃の経路を遮断するため、アドバイザリーやブログで当面の回避策を紹介するとともに、ASP.NETアプリケーションが脆弱性のある設定になっているかどうかを管理者がチェックできるスクリプトを提供している。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック