『IIS』の FTP サービスに未対応の脆弱性見つかる

Microsoft は1日夜、同社の Web サーバー ソフトウェア『Internet Information Services』(IIS) の比較的古いバージョンに存在し、深刻なゼロデイ攻撃を招きかねない脆弱性についてセキュリティ勧告を公開した。

勧告によれば、現在のところ実際の攻撃については認識していないものの、「詳細な悪用コードがインターネット上で公開されている」のを確認したという。

Microsoft でシニア コミュニケーション マネージャを務める Alan Wallace 氏は、同社セキュリティ対策組織 Microsoft Security Response Center (MSRC) の Blog 記事で次のように述べた。「当社は現在、この問題を『Software Security Incident Response Process』(SSIRP：ソフトウェアのセキュリティ問題に関する対策プロセス) の一環として調査しており、セキュリティ更新の開発に取り組んでいるところだ。(セキュリティ更新は) 品質水準が広範な配布に耐え得るものになり次第リリースする」

今回の脆弱性は、『IIS 5.0』『IIS 5.1』『IIS 6.0』のファイル転送プロトコル (FTP) 機能に存在する。コマンドライン インターフェースを用いて FTP サービスを利用し、サーバーからファイルを取得する方法は、技術的に詳しいユーザーにとって、Web サーバー内のファイルを処理する際の一般的な手段だ。

勧告によれば、比較的新しいバージョンの IIS、具体的には『IIS 7.0』および『IIS 7.5』は影響を受けないという。影響を受けるのは、『Windows 2000 Service Pack 4 (SP4)』『Windows XP SP2』『Windows XP SP3』『Windows Server 2003 SP2』(32ビット版と64ビット版) が備えるバージョンの IIS だ。『Windows 7』および『Windows Server 2008』は影響を受けない。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール