マイクロソフト、定例外のセキュリティ修正プログラム「MS11-100」を公開
日本マイクロソフトは12月30日、.NET Frameworkに関する定例外のセキュリティ更新プログラム「MS11-100」を公開した。脆弱性の最大深刻度は4段階で最も高い“緊急”。対象となるOSはWindows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003で、各OS上の.NET Framework 4/3.5.1/3.5/2.0/1.1が影響を受ける。
「MS11-100」では、計4件の脆弱性を修正している。このうち1件の情報が一般に公開されたため、マイクロソフトは定例外で更新プログラムを公開。また、1月の定例更新プログラムで修正予定だった3件も合わせて修正した。
情報が一般に公開された脆弱性「CVE-2011-3414」は、ハッシュテーブルの衝突によりサービス拒否を引き起こす可能性があるもの。脆弱性が悪用された場合、ASP.NETを使用しているサイトがサービス拒否攻撃(DoS攻撃)を受ける可能性がある。脆弱性の深刻度は4段階で上から2番目の“重要”で、悪用の可能性を示すExploitability Index(悪用可能性指標)は、最も可能性が低い「3」となっている。
残り3件の脆弱性のうち、深刻度が最も高い“緊急”となっている脆弱性は「CVE-2011-3416」の1件。この脆弱性が悪用された場合、リモートから非認証の攻撃者がASP.NET上の他のアカウントを取得することができ、サイト上で任意のコマンドを実行することが可能となる。また、悪用可能性指標はも最も可能性が高い「1」となっている。
2012/1/5 12:31