|
■URL
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-059.asp
http://www.microsoft.com/japan/technet/security/frame_prekb.asp?sec_cd=MS01-059
(日本語版)
米Microsoftは20日、Windows XP、Windows 98/98SE/Me上で「Windows XPインターネット接続共有クライアント」をインストールしている利用者に対して、クラッカーが侵入してどのようなプログラムでも実行できるようにしてしまうセキュリティーホールが存在することを明らかにし、これを修正するためのパッチの配布を開始した。Microsoftではすべての該当者がこのパッチを即座にインストールしてセキュリティーホールを修正するように強く勧めている。
問題となっているのは、MicrosoftのWindows XPに含まれている「UPnP(Universal Plug and Play)」だ。この実装部分に2つの問題が含まれているという。一つは「バッファオーバーラン」セキュリティーホールで、これを悪用するとクラッカーはPCに侵入してどのようなプログラムでも実行でき、サブネットに接続されているすべてのコンピュータを乗っ取ることさえ可能になる。2つ目の問題はUPnPが新しいデバイスを発見するためのプロセスの実装部分に問題があるというセキュリティーホールで、これを悪用すると2種類のDoS攻撃をクライアントマシンに対して仕掛けることができてしまうという。
いずれの問題もWindows XPのクライアントマシンで起きる症状が最も深刻で、UPnPをサポートしていないWindowsNTやWindows 2000にはこのセキュリティーホールは存在していない。
なおマイクロソフト株式会社では21日、日本語版修正パッチの公開を開始した。
(2001/12/21)
[Reported by taiga@scientist.com]