MSが定例外の修正パッチ「MS10-070」公開、ASP.NETの脆弱性に対応


 マイクロソフトは29日、ウェブサーバーに用いられる「ASP.NET」の脆弱性に対する、定例外のセキュリティ更新プログラム(修正パッチ)「MS10-070」を公開した。脆弱性の最大深刻度は4段階で2番目に高い“重要”。対象OSはWindows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003。修正パッチはマイクロソフトのダウンロードセンターで配布しており、Microsoft Updateなどを通じた自動配信は準備が整い次第、数日以内に開始するとしている。

 「MS10-070」で修正する脆弱性は、ASP.NETが特定の暗号化テキストを解読する際に、ウェブクライアントにエラーメッセージの詳細を提供することが原因で発生する。攻撃者が、ASP.NETがインストールされたウェブサーバーに不正なリクエストを送信し、ウェブサーバーが返したエラーコードを検証することにより、暗号化されたデータやウェブアプリケーションの構成ファイル(web.configファイル)の読み取られる危険がある。

 マイクロソフトによれば、脆弱性はWindows Server OSで使われるすべての.NET Frameworkコンポーネントが影響を受け、既にこの脆弱性を悪用しようとする限定的な攻撃も確認されているという。また、Windows 7/Vista/XPなどのデスクトップOSについても脆弱性があるが、ウェブサーバーを運用していない場合は脆弱性の影響は受けないとしている。

関連情報