Internet Watch logo
記事検索
最新ニュース

Exchange Serverにも外部からコードを実行できる脆弱性「MS04-035」など


 マイクロソフトは13日、月例のセキュリティ修正プログラム(パッチ)として、Exchange Serverなどの脆弱性を修正する「MS04-035」「MS04-036」を公開した。いずれも深刻度は“緊急”で、Windows Updateで適用できる。

 MS04-035は、リモートで任意のコードが実行される「SMTPの脆弱性」の修正パッチ。Windows XP 64-Bit Edition Version 2003、Windows Server 2003(64ビット版を含む)と、Windows Server 2003もしくはWindows 2000 SP3/SP4にインストールされたExchenge Server 2003が対象だ。

 Windows Server 2003のSMTPコンポーネントとExchangeルーティングエンジンにバッファオーバーフローの脆弱性が存在し、リモートでコードが実行される可能性がある。悪用すると、影響を受けるPCに対してメッセージを送信し、任意のコードを実行できる。その結果、対象のPCを完全にコントロールできるという。また、SMTPコンポーネントなどのサービスを繰り返し異常終了させる可能性もある。

 MS04-036も、リモートで任意のコードを実行される可能性のある「Network News Transfer Protocol(NNTP)の脆弱性」の修正パッチ。64ビット版を含むWindows Server 2003、Windows 2000 Server SP3/SP4、Windows NT Server 4.0 SP6aと、Exchange Server 2003、Exchange Server 2003 SP1、Exchange 2000 Server SP3が対象だ。

 NNTPコンポーネントとは、インターネット上でニュースの配信、取得、投稿を行なうために利用されるコンポーネントだ。このコンポーネントにバッファオーバーフローの脆弱性が存在し、リモートでコードが実行される可能性がある。悪用する場合は、特別な細工を施したメッセージを作成し、この脆弱性の影響を受けるPCに送信する。メッセージを受信したコンピュータでは、任意のコードが実行される可能性があるという。

 また、PCに対話的ログオンを行なう場合などで、脆弱性の影響を受けるコンポーネントのパラメータを別のプログラムに渡して、ログオンされる恐れもあるとしている。


関連情報

URL
  MS04-035
  http://www.microsoft.com/japan/technet/security/bulletin/ms04-035.asp
  MS04-036
  http://www.microsoft.com/japan/technet/security/bulletin/ms04-036.asp


( 鷹木 創 )
2004/10/13 17:42

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.