Microsoft、『Windows』のホスト名解決方法における脆弱性を警告

Microsoft は3日、『Windows』のホスト名解決方法に存在する脆弱性に関してセキュリティ勧告を公開し、修正プログラムの提供までシステム管理者が取るべき回避策を示した。

この問題は、完全修飾ドメイン名 (FQDN) ではないホスト名を解決する処理で発現する。具体的には、『Web プロキシ自動発見 (WPAD)』機能が WPAD サーバーを検出するために、設定された DNS サフィックスを用い、段階的にさかのぼって FQDN を得ようとする処理 (DNS デボルブ) に問題がある。FQDN とは、DNS のツリー階層内におけるノードを指定するため、TLD まで省略せずに記述したものだ。

今回の問題は、DNS サフィックスが「domainname.co.us」のように、第3階層またはそれより深い階層の構成になっている場合に起きる恐れがある。ただし、Microsoft のセキュリティ勧告には、ユーザーがプライマリ DNS サフィックスを構成していない場合や、ユーザー組織の DNS サフィックスが「domainname.com」のように第2階層で定義される場合など、いくつかの緩和要素について説明がある。

同勧告では、修正プログラム提供までの間に取るべき措置として、回避策も複数示している。具体的には、プロキシ自動構成ファイルの作成、『Internet Explorer』の自動検出設定の無効化、DNS デボルブの無効化、およびドメイン サフィックス検索リストの作成だ。

Microsoft によると、今のところ顧客が同脆弱性の影響を受けたとの情報は得ていないという。また、脆弱性の調査が終了次第、今後の対応を決定するとも述べており、セキュリティ修正プログラムを月例更新スケジュールで提供するのか否かについては、顧客ニーズに照らして、スケジュール外で提供する可能性もあるという。なお、次回の月例更新は11日の予定だ。