NET Framework のバッファ・オーバーフロー問題 2007年7月12日
注記: 当内容はライブセキュリティユーザー様向けのセキュリティ情報を一般向けに編集し直したものです。
ウォッチガード・ユーザー様はウォッチガード・ブロードキャストも合わせてご覧下さい。
■.NET Framework のバッファ・オーバーフロー問題■
危険度:高
日付:2007年7月12日
【概要:】
米国時間の7月10日、マイクロソフトは「Microsoft .NET Framework 1.0/1.1/2.0」に影響を与えている3つの脆弱性について説明したセキュリティ情報をリリースした。
攻撃者は不正に作成したウェブ・ページにユーザーを誘い、脆弱性を悪用してユーザーの権限を獲得した状態で、そのコンピューターにてコードを実行することができるようになる。
最悪の場合、攻撃者は被害者のシステムを完全にコントロールすることが可能になる。
ネットワーク上のコンピューターに「.NET Framework」をインストールしている場合は、できる限り早急に、状況に適した修正プログラムをダウンロードしテストしてから導入することを勧める。
【問題の詳細:】
マイクロソフトによると「.NET Framework」は、管理用コードのプログラミング・モデルで、ビジュアルの良いユーザー・インターフェイスや途切れなくセキュアなコミュニケーション、そしてビジネス・プロセスの範囲をモデルにすることのできるアプリケーションを構築するためのものであるという。
ウィンドウズには常に「.NET Framework」が含まれていないが、内部のウェブ・アプリケーションやカスタム・プログラムをサポートするために、管理者が社内のマシーンにインストールしていることが多い。
米国時間の7月10日にリリースされた3件のセキュリティ情報で、マイクロソフトは「Microsoft .NET Framework1.0/1.1/2.0」に影響を与えている3つの脆弱性について説明している。
3つの問題の内、2つはバッファ・オーバーフロー問題で「.NET Framework」を使用しているクライアント・システムでリモート・コードが実行される恐れがある。
又「ASP.NET」を使用しているウェブ・サーバーに影響を与える情報開示の問題もある。
2つのバッファ・オーバーフローの欠陥は、小・中規模の企業にとって深刻なリスクを掲げている。
攻撃者は悪性のウェブサイトにユーザーを誘い、こうした欠陥を悪用すると、ユーザーの権限を獲得した上でそのユーザーのコンピューターにて、コードを実行できるようになる。被害者にローカル管理者の権限が付いていた場合、攻撃者はその被害者のマシーンを完全にコントロールすることができる。
.NET Framework(ドット・ネット・フレームワーク)とは?
http://ja.wikipedia.org/wiki/.NET_Framework
【対策:】
マイクロソフトは、こうした脆弱性を修正する「.NETFramework」のアップデートをリリースしている。.
NETFrameworkをネットワークにインストールしている場合は、状況に適した修正プログラムをできる限り早急にダウンロードし、テストしてからインストールすることを勧める。
【修正プログラム・ダウンロード先:(日本語版)】
■.NET Framework 1.0
Windows 2000 XP/Server 2003/Vista
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=91d7afe4-069b-4ce8-976e-9a01345a8603
Windows XP Tablet / XP MediaCenter
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=829a2c5b-11ec-4ed7-91ab-6961034147bc
■.NET Framework 1.1
Windows 2000/XP
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=281fb2cd-c715-4f05-a01f-0455d2d9ebfb
Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=2495e656-1e0a-4b83-90da-821e68067a71
Windows Server 2003 x64/Itanium版
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=281fb2cd-c715-4f05-a01f-0455d2d9ebfb
Windows Vista
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=7eea368d-7b82-4583-8537-30351718a4e9
■.NET framework 2.0
Windows 2000, XP/Server 2003
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=ba3ceb78-8e1b-4c38-adfd-e8bc95ae548d
Windows Vista
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=cbc9f3cf-c3c3-45c4-82e3-e11398bc2cd2
【ステータス:】
マイクロソフト社は、こうした問題を修正するプログラムをリリース済み。
【参考資料:】
マイクロソフト社のセキュリティ情報一覧(日本語)
http://www.microsoft.com/japan/security/default.mspx
調査・文:Corey Nachreiner(コーリー・ナクライナー)CISSP
ウォッチガード・ユーザー様はウォッチガード・ブロードキャストも合わせてご覧下さい。
■.NET Framework のバッファ・オーバーフロー問題■
危険度:高
日付:2007年7月12日
【概要:】
米国時間の7月10日、マイクロソフトは「Microsoft .NET Framework 1.0/1.1/2.0」に影響を与えている3つの脆弱性について説明したセキュリティ情報をリリースした。
攻撃者は不正に作成したウェブ・ページにユーザーを誘い、脆弱性を悪用してユーザーの権限を獲得した状態で、そのコンピューターにてコードを実行することができるようになる。
最悪の場合、攻撃者は被害者のシステムを完全にコントロールすることが可能になる。
ネットワーク上のコンピューターに「.NET Framework」をインストールしている場合は、できる限り早急に、状況に適した修正プログラムをダウンロードしテストしてから導入することを勧める。
【問題の詳細:】
マイクロソフトによると「.NET Framework」は、管理用コードのプログラミング・モデルで、ビジュアルの良いユーザー・インターフェイスや途切れなくセキュアなコミュニケーション、そしてビジネス・プロセスの範囲をモデルにすることのできるアプリケーションを構築するためのものであるという。
ウィンドウズには常に「.NET Framework」が含まれていないが、内部のウェブ・アプリケーションやカスタム・プログラムをサポートするために、管理者が社内のマシーンにインストールしていることが多い。
米国時間の7月10日にリリースされた3件のセキュリティ情報で、マイクロソフトは「Microsoft .NET Framework1.0/1.1/2.0」に影響を与えている3つの脆弱性について説明している。
3つの問題の内、2つはバッファ・オーバーフロー問題で「.NET Framework」を使用しているクライアント・システムでリモート・コードが実行される恐れがある。
又「ASP.NET」を使用しているウェブ・サーバーに影響を与える情報開示の問題もある。
2つのバッファ・オーバーフローの欠陥は、小・中規模の企業にとって深刻なリスクを掲げている。
攻撃者は悪性のウェブサイトにユーザーを誘い、こうした欠陥を悪用すると、ユーザーの権限を獲得した上でそのユーザーのコンピューターにて、コードを実行できるようになる。被害者にローカル管理者の権限が付いていた場合、攻撃者はその被害者のマシーンを完全にコントロールすることができる。
.NET Framework(ドット・ネット・フレームワーク)とは?
http://ja.wikipedia.org/wiki/.NET_Framework
【対策:】
マイクロソフトは、こうした脆弱性を修正する「.NETFramework」のアップデートをリリースしている。.
NETFrameworkをネットワークにインストールしている場合は、状況に適した修正プログラムをできる限り早急にダウンロードし、テストしてからインストールすることを勧める。
【修正プログラム・ダウンロード先:(日本語版)】
■.NET Framework 1.0
Windows 2000 XP/Server 2003/Vista
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=91d7afe4-069b-4ce8-976e-9a01345a8603
Windows XP Tablet / XP MediaCenter
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=829a2c5b-11ec-4ed7-91ab-6961034147bc
■.NET Framework 1.1
Windows 2000/XP
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=281fb2cd-c715-4f05-a01f-0455d2d9ebfb
Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=2495e656-1e0a-4b83-90da-821e68067a71
Windows Server 2003 x64/Itanium版
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=281fb2cd-c715-4f05-a01f-0455d2d9ebfb
Windows Vista
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=7eea368d-7b82-4583-8537-30351718a4e9
■.NET framework 2.0
Windows 2000, XP/Server 2003
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=ba3ceb78-8e1b-4c38-adfd-e8bc95ae548d
Windows Vista
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=cbc9f3cf-c3c3-45c4-82e3-e11398bc2cd2
【ステータス:】
マイクロソフト社は、こうした問題を修正するプログラムをリリース済み。
【参考資料:】
マイクロソフト社のセキュリティ情報一覧(日本語)
http://www.microsoft.com/japan/security/default.mspx
調査・文:Corey Nachreiner(コーリー・ナクライナー)CISSP