PR

 Windows 2000のコンポーネントに未チェックのバッファが見付かった。悪用されると攻撃者によりWebサーバーのIIS(Internet Information Server/Services)を停止させられたり,任意のプログラムを実行されたりする危険性がある。マイクロソフトは3月18日,この問題に関するセキュリティ情報を公開した(該当サイト)。この問題の深刻度は「緊急」レベル(4段階評価の中で最も深刻なレベル)である。対応するセキュリティ・パッチが提供されており,サーバー管理者は迅速にインストールする必要がある。このパッチをインストールするには,Windows 2000 Service Pack 2か同Service Pack 3が適用されている必要がある。

 Windows 2000には,遠隔地からWebサーバー上のファイル操作やWebコンテンツのバージョン管理をするためのプロトコルWebDAV(Web Distributed Authoring and Versioning)が組み込まれている。このWebDAVが使用するWindowsコンポーネントの一部に未チェックのバッファが存在し,ここにIIS経由で特殊なHTTP要求を送り込まれるとIISが乗っ取られて悪用される危険性がある。

 なお,この問題は,IIS に送信されるHTTPリクエストをチェックして不正な文字列が含まれる場合などにフィルタリングするツール「URLScan」がデフォルトの設定で使用されている場合には起こらない。

(渡辺 享靖=日経Windowsプロ)