マイクロソフトIISに新たな脆弱性、検証コードも既に公開


 米US-CERTは8月31日、マイクロソフトのWebサーバープログラム「IIS(Internet Information Services)」に関する新たな脆弱性情報を公開した。既に脆弱性のエクスプロイトコード(検証コード)も公開されている。

 脆弱性は、IISのFTPサーバー機能に存在し、悪意のあるコマンドを送りつけることでバッファオーバーフローを引き起こし、任意のコードを実行させられるというもの。攻撃にはユーザー認証が必要となるが、匿名(anonymous)ログインで書き込み権限がある場合などは悪用される危険があるため、US-CERTでは回避策として匿名ログインの書き込みを禁止する設定を推奨している。

 SANS Internet Storm Centerによれば、既にこの脆弱性に対するエクスプロイトコードがインターネット上に公開されており、IIS 6/5のFTPモジュールに対して攻撃が可能だという。


関連情報

(三柳 英樹)

2009/9/1 15:16