マイクロソフトは、Windows XP/2000/NT 4.0用のWebサーバーであるInternet Information Services（IIS）の新たな脆弱性を公開するとともに、修正プログラムをWebサイトで無償公開した。対象となるIISのバージョンは、4.0、5.0、5.1。

　インストールを行なうには、IIS 4.0ではWindows NT4.0 SP6a以上、IIS5.0ではWindows 2000 SP1およびSP2を適用していること、IIS 5.1はWindows XP Professional上で実行されていることが必要となる。

　公開された修正プログラム（日本語版）は、IIS 4.0、IIS 5.0、IIS5.1用の3種類。IIS 5.0用はPC/AT互換機用のみ公開され、PC9800シリーズ用のIIS 5.0の修正プログラムは現在準備中という。

　また、IIS 5.0用の修正プログラムははWindows 2000 Service Pack3、IIS 5.1用はWindows XP Sevice Pack1に含まれる予定という。

　今回明らかにされた脆弱性は、バッファのオーバーランによりIISを停止させたり、不正なコード（プログラム）を実行させることや、クロスサイトスクリプティング（CSS）についての不具合など、以下の項目について修正される。

• Active Server Page（ASP）およびHTRによるバッファのオーバーランの脆弱性。IISを異常終了またはサーバーでコードを実行する可能性（IIS 4.0、5.0）。
• ASPデータ転送メカニズムに存在する脆弱性。
• 特定の場合にHTTPヘッダー情報を処理する方法に関連するバッファのオーバーランの脆弱性。
• サーバー側で実行されるセーフティチェックのエラーが原因となり発生する脆弱性。極端に長い偽のファイル名を提供するとセーフティチェックを通り抜け、バッファがオーバーランする場合がある。
• ISAPIフィルタからのエラー状況を処理する方法に関連するサービス拒否の脆弱性。IISが異常終了する。
• FTPサービスが状態リクエストを処理する方法に関連するサービス拒否の脆弱性。FTPサービスだけでなく、Webサービスが中断される可能性がある。
• CSSに脆弱性。IISのヘルプファイルの検索結果ページ、HTTPエラーページ、リクエストされたURLがリダイレクトされたことを通知するために戻されるエラーメッセージをアクセスした場合に、第三者のWebサイトの応答がそのユーザーに送信される場合がある。

□Internet Information Services用の累積的な修正プログラム (Q319733) (MS02-018)
http://www.microsoft.com/japan/technet/security/bulletin/ms02-018.asp?frame=true
□修正プログラム（IIS 4.0）
http://www.microsoft.com/downloads/release.asp?ReleaseID=37935
□修正プログラム（IIS 5.0）
http://www.microsoft.com/downloads/release.asp?ReleaseID=37835
□修正プログラム（IIS 5.1）
http://www.microsoft.com/downloads/release.asp?ReleaseID=37862
□マイクロソフト
http://www.microsoft.com/japan/

（正田拓也）
2002/04/11 19:16