マイクロソフトは2011年12月30日、「.NET Framework」の脆弱性を修正する、定例外のセキュリティ更新プログラム(パッチ)を公開した。定例外での公開は、脆弱性の詳細情報が一般に公開されたことと、セキュリティ更新プログラムの品質が確保できたと判断したためとしている。
対象となるのは、Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003上の.NET Framework 4/3.5.1/3.5/2.0/1.1で、アップデートは、Windowsの自動更新機能を通じて自動的に行われる。
.NET Frameworkは、同社の開発言語などで書かれた.NETアプリケーションの実行環境のことで、XP以降のWindowsに標準で含まれている。今回のセキュリティ更新プログラムでは、この.NET Frameworkの一部であるWebアプリケーション用のASP.NETに関する、4件の脆弱性を修正する。WindowsのIIS(Internet Information Server)を使用しているWebサーバーで、ASP.NETをインストールしている場合に、今回の脆弱性が影響する。
修正されたのは、ハッシュテーブルの衝突でサービス拒否を引き起こす脆弱性、フォームの認証でのなりすましの脆弱性、および2件の特権昇格の脆弱性。サイト上で任意のコマンドが実行できる特権昇格の問題が含まれているため、深刻度は4段階評価で最も高い「緊急」となっている。
同社が、公開を前倒しにした理由としてあげている、一般に公開された脆弱性は、4件の中のハッシュテーブルの衝突でサービス拒否を引き起こす問題で、深刻度は上から2番目の「重要」と評価されている。
ハッシュというのは、入力データから生成する疑似的な乱数のことで、生成されるハッシュが同じ値になってしまうことをハッシュの衝突という。Webプログラミング言語では、データを高速に処理するために自動的にハッシュを生成し、ハッシュテーブルに設定することがよく行われるが、このようなWebサーバーに対しハッシュが衝突するようなデータばかりを入力すると、Webサーバーに高い負荷がかかってしまい、サービスがとどこおる「サービス拒否」を引き起こす。
この問題は、12月28日にドイツで開催されたイベント「Chaos Communication Congress」で発表されたもので、ASP.NET以外にも、PHPやJava、Python、Rubyなど様々なWebプログラミング言語が影響を受ける。
(2012/01/05 ネットセキュリティニュース)
【関連URL:マイクロソフト】
・MS11-100 - 緊急:.NET Framework の脆弱性により、特権が昇格される
http://technet.microsoft.com/ja-jp/security/bulletin/MS11-100
・セキュリティ アドバイザリ:ASP.NET の脆弱性により、サービス拒否が起こる
http://technet.microsoft.com/ja-jp/security/advisory/2659883
・Microsoft Update
http://windowsupdate.microsoft.com/