Internet Watch logo
記事検索
最新ニュース

IIS4.0とOutlook Expressに任意のコード実行可能な脆弱性など


 マイクロソフトは14日、Internet Information Server(IIS)4.0とOutlook Express(OE)に脆弱性が存在すると発表し、セキュリティ修正プログラム(パッチ)も公開した。

 IIS4.0の脆弱性は、IIS4.0のリダイレクト機能に未チェックのバッファがあるためバッファオーバーランが発生し、リモートから任意のプログラムを実行される可能性があるというもの。緊急度は上から2番目の“重要”と評価されている。悪用されると任意のコード実行のほか、データの削除・変更なども可能だという。このため、マイクロソフトでは、管理者は早期にパッチを適用するよう推奨している。対象となるのは、Windows NT 4.0でIIS4.0を起動している場合のみ。

 OEの脆弱性は、細工が施されたメールを受信するとプログラムが異常終了してしまうというもの。緊急度は上から3番目の“警告”となっている。これは、不正なメールヘッダーについて、強固な検証を行なっていないために発生するのだという。

 プレビューウィンドウが有効となっている場合には、ユーザーは手動でメッセージを削除し、OEを再起動する必要があるという。対象となるバージョンは、OE 6/5.5 SP2。また、この脆弱性を修正するパッチ「MS04-018」には、現在までに提供されているOE向けのパッチが累積的に収録されているため、そのほかのバージョンでもインストールする必要がある場合があるので、注意が必要だ。

 いずれの脆弱性も、マイクロソフトよりパッチが公開されているため、パッチを適用すれば修正可能だ。パッチは、WindowsUpdateもしくは同社Webサイト上からダウンロードできる。


関連情報

URL
  IIS 4.0の脆弱性
  http://www.microsoft.com/japan/technet/security/bulletin/ms04-021.asp
  OEの脆弱性
  http://www.microsoft.com/japan/technet/security/bulletin/ms04-018.asp


( 大津 心 )
2004/07/14 13:29

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.