ASP.NETの脆弱性で情報漏えいの恐れ、MSがセキュリティアドバイザリ公開


 マイクロソフト株式会社は18日、ASP.NETの脆弱性が報告されたとして、セキュリティアドバイザリを公表した。攻撃者が脆弱性を悪用した場合、情報漏えいが起こる可能性がある。影響を受けるのは、Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003上の.NET Frameworkコンポーネントのすべてのバージョン。

 脆弱性は、ASP.NETが特定の暗号化テキストを解読する際に、ウェブクライアントにエラーメッセージの詳細を提供することが原因で発生する。脆弱性が悪用されると、サーバー上の暗号化されたView Stateデータや、web.configファイルなどの情報が読み取られる可能性がある。

 サーバー上で直接コードが実行されたり、特権の昇格が発生することはないというが、読み取られたデータが改ざんされる可能性があるとしている。回避策としては、ASP.NETカスタムエラーを有効にし、すべてのエラーコードを同じエラーページにマップすることなどが挙げられている。

【追記 19:08】
 マイクロソフトは21日、セキュリティアドバイザリを更新し、今回見つかった脆弱性について、限定的な攻撃を確認していることを明らかにした。


関連情報

(増田 覚)

2010/9/21 14:45