Internet Watch logo
記事検索
最新ニュース

Exchange Serverに任意のコードが実行可能な2種類の脆弱性


 マイクロソフトは16日、メッセ―ジング環境を提供するサーバー「Microsoft Exchange Server」の脆弱性「MS03-046」と「MS03-047」を公開した。同社では既に修正プログラムを提供しており、同社Webサイト上からダウンロードできる。

 MS03-046は、Exchange Server 5.5とExchange 2000 Serverが対象となる脆弱性。Exchange Server 5.5の場合は、インターネットメールサービスにセキュリティ上の脆弱性が原因となり、任意のコードが実行される可能性がある。Exchange 2000 Serverの場合、セキュリティ上の脆弱性が原因となり、不正な攻撃者がExchange Server上の SMTPポートに接続し、悪意のあるコードを含んだ拡張コマンドリクエストを発行する可能性があるという。これらの攻撃を受けることによって、サービス停止や利用不能になる場合もあるという。深刻度は、Exchange Server 5.5が“重要”、Exchange 2000 Serverが“緊急”と評価されている。

 MS03-047は、Exchange Server 5.5 Outlook Web Accessの脆弱性により、クロスサイトスクリプティングが実行される可能性があるという。影響を受けるのは、Exchange Server 5.5のみ。原因は、Outlook Web Accessが新しいメッセージの作成フォームでHTMLエンコードを行なう方法にあるという。攻撃者がこの脆弱性を悪用すると、攻撃者に代わってユーザー自身がスクリプトを実行してしまう可能性がある。深刻度は、4段階中上から3番目の“警告”。

 MS03-046やMS03-047は、それぞれの対応したセキュリティ修正プログラムを適用すれば、修正することができる。セキュリティ修正プログラムは、マイクロソフトのWebサイト上からダウンロード可能だ。


関連情報

URL
  MS03-046
  http://www.microsoft.com/japan/technet/security/bulletin/MS03-046.asp
  MS03-047
  http://www.microsoft.com/japan/technet/security/bulletin/MS03-047.asp


( 大津 心 )
2003/10/16 17:48

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.