Windows 2000 Serverの「nsiislog.dll」にまた任意のコードが実行される脆弱性

■URL
http://www.microsoft.com/japan/technet/security/bulletin/ms03-022.asp

　マイクロソフト株式会社は26日、Windows 2000 Serverに任意のコードが実行される可能性のある脆弱性「MS03-022」があると発表した。同社では危険度を“重要”と認定している。

　問題は、Windows 2000 Serverに含まれているストリーミングメディアサーバー機能「Windows Mediaサービス4.1」に含まれるISAPIエクステンションの「nsiislog.dll」に、任意のコードが実行できる脆弱性があるというもの。

　ISAPIエクステンションは、ISAPI（Internet Services Application Programming Interface）を介して、IISに機能を付加できる機能。「nsiislog.dll」には、5月29日にも任意のコードが実行される脆弱性が発見されている。

　具体的には、Windows 2000 Serverで「Windows Media サービス 4.1」を有効にしており、さらにIISを稼動させている環境で、細工が施されたHTTPリクエストを送信されると発生する。Windows NT 4.0/XP/Server 2003では影響を受けない。また、Windows 2000 Serverでも、デフォルトでは「Windows Media サービス 4.1」がインストールされていないため、ユーザー自身が追加インストールしていない限り、影響を受けない。

　問題を修正するためには、マイクロソフトより提供されている修正パッチを適用すればよい。修正パッチは「Windows Update」や同社Webサイト上からダウンロードできる。ただし、この修正プログラムはアンインストールできないので、適用時には注意が必要

◎関連記事
■マイクロソフト、Windows Mediaサービスの脆弱性を“重要”に引き上げ

(2003/6/26)

[Reported by otsu-j@impress.co.jp]