Microsoft、RPC 関連の脆弱性に対し、NT のパッチは無し

Microsoft (NASDAQ:MSFT) は27日、RPC プロトコル処理に脆弱性があるとセキュリティ情報「MS03-010」を公開した。

セキュリティ情報 MS03-010 によると、TCP/IP を用いる RPC 処理の一部に問題があり、不正なメッセージの処理が適切ではないため、RPC サービスそのものが停止する可能性があるという。

同脆弱性を持つシステムは、『Windows NT 4.0』／同『Terminal Server Edition』／『Windows 2000』／『Windows XP』の各システム。深刻度は同社基準で上から2つめの「重要」で、XP と 2000 の両システムには修正プログラムを提供しているが、NT 4.0 用は提供できないとしている。

今回の脆弱性は、TCP ポート135をふさぐことで回避できるとはいえ、NT 4.0 用の修正プログラムを用意しないというのは、そろそろ NT 4.0 から移行して欲しいという無言の圧力とみえない事も無い。

同社によると、NT 4.0 アーキテクチャはそれ以降のアーキテクチャと根本的に異なるため、NT 4.0 から同脆弱性を排除するには、RPC コンポーネントのみでなく、システム自体を大幅に作り直さなければならないという。そして NT 4.0 用の修正プログラムを用意しない理由として、仮に脆弱性を排除したとしても、大幅な改変により互換性に問題が出かねず、従来の NT 4.0 用アプリケーションの正常動作を保証できないからと述べている。