Microsoft、コンテンツ配信に関連する機能に脆弱性

Microsoft (NASDAQ:MSFT) は25日、『Windows Media サービス』で用いる ISAPI エクステンションに存在する脆弱性に関して、セキュリティ情報を発表した。『Windows 2000』を運用するシステムで、任意のプログラムコード実行の被害を受ける可能性があるという。

同社が発表したセキュリティ情報『MS03-022』では、深刻度を重要としており、システム管理者にできるだけ速やかな修正プログラムの適用を呼びかけている。

脆弱性は Windows Media サービスのインストール時に導入する、マルチキャストのログ機能に存在する。Windows Media サービスは、ネットワーク上のクライアントに、メディアコンテンツを配信する際、マルチキャストによるストリーミングが可能で、かつマルチキャストストリーミングでは、受け手側のクライアントと直接接続しないことから、接続情報を記録するため Windows 2000 ではログ機能を用意している。なお同機能は、ISAPI エクステンションとして実装している。

同社によると、「クライアントからのリクエストを、(ログ機能が) 処理する方法に問題がある。攻撃者が特別な形式の HTTP リクエストを送出すると、IIS が異常終了したり、サービス提供側のシステム上で、任意のプログラムコードを実行できる可能性がある」としている。

Windows Media サービスは、『Windows Server 2003』『Windows XP』『Windows NT 4.0』でも利用できるが、これらのシステムには同脆弱性が無いという。