japan.internet.com
テクノロジー2002年6月14日 00:00

MS、またも新たなセキュリティ勧告と修正パッチを公開

この記事のURLhttp://japan.internet.com/webtech/20020614/12.html
著者:Ryan Naraine
海外internet.com発の記事
Microsoft Corp. (NASDAQ:MSFT) は12日遅く、多数のセキュリティ勧告を発した。その1つは、『Remote Access Service (RAS)』の電話帳に存在するバグにより、『Windows NT 4.0』、『Windows 2000』、および『Windows XP』ユーザーが危険にさらされるというものだ。

Microsoft によると、セキュリティ企業の Next Generation Security Software は、RAS の電話帳の未チェックのバッファにより、攻撃者が不正なコードを実行できる脆弱性を発見したという。

RAS は、コンピュータとネットワーク間で電話回線を使ったダイヤルアップ接続を可能にするもので、Windows NT/2000/XP の標準システムサービスとして提供されている。RAS の電話帳は、リモートシステムにダイヤルアップ接続するために使用される電話番号、セキュリティ、ネットワーク設定などの情報を保存するためのもので、すべての RAS 実装に含まれている。攻撃者がシステムにログオンして電話帳のエントリを変更可能な場合、そのエントリを使って接続が行なわれる際にシステムにより不正なコードが実行される可能性がある、と Microsoft では説明している。

Microsoft はこれとは別に、『Microsoft SQL Server 2000』に見つかった2つのバグを修正するパッチを同社セキュリティ情報の中で公開した。

セキュリティ情報によると、SQLXML に2つの脆弱性 ―― SQLXML ISAPI フィルター内でのバッファオーバーフロー、およびクロスサイトスクリプティング脆弱性 ―― が存在するという。Microsoft は、ISAPI エクステンション内でのバッファオーバフローにより、「最悪の場合、攻撃者の選択したコードが『Microsoft Internet Information Services (IIS) Server』で実行される可能性がある」と警告している。

またクロスサイトスクリプティング脆弱性について、XML タグを指定する機能を攻撃者に悪用されてスクリプトを仕込まれ、ユーザーのコンピュータ上でより高い権限でスクリプトを実行させられる可能性がある、と説明している。セキュリティ情報では、「たとえば、スクリプトはインターネットゾーンではなく、イントラネットゾーンで実行される場合がある」との事例も指摘している。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。

Copyright 2014 internet.com K.K. (Japan) All Rights Reserved.