MSが29日に定例外の修正パッチ、ASP.NETの脆弱性で

　マイクロソフト株式会社は、ASP.NETの脆弱性を修正する定例外のセキュリティ更新プログラム（修正パッチ）を、日本時間9月29日にリリースする。脆弱性の深刻度は4段階で2番目に高い“重要”。対象OSはWindows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003。

　マイクロソフトは毎月、米国時間の第2火曜日に定例の修正パッチをリリースしているが、ASP.NETの脆弱性を狙った攻撃が既に確認されているため、定例外の修正パッチとして提供する。この脆弱性については、9月21日にセキュリティアドバイザリ（981374）を公開していた。

　今回見つかった脆弱性は、ASP.NETが特定の暗号化テキストを解読する際に、ウェブクライアントにエラーメッセージの詳細を提供することが原因で発生する。脆弱性が悪用されると、サーバー上の暗号化されたView Stateデータや、web.configファイルなどの情報が読み取られる可能性があるという。

　マイクロソフトによれば、脆弱性はWindows Server OSで使われるすべての.NET Frameworkコンポーネントが影響を受けるという。Windows 7/Vista/XPなどのデスクトップOSについても脆弱性があるとされているが、ウェブサーバーを運用していない限り脆弱性の影響は受けないとしている。

　修正パッチは、マイクロソフトダウンロードセンターから先行して提供する予定。Windows UpdateやMicrosoft Update、Windows Server Update Servicesからの自動配信については、準備が整い次第配信を開始するという。