18日にアナウンスされた「Windows コンポーネントの未チェックのバッファによりWebサーバーが侵害される」(MS03-007)の続報。
この件に関しては「Windows 2000でIISを稼動する環境に問題あり」という論調が一般的だったのだが、NGSSoftwareのDavid Litchfieldによって単純な HTTP リクエストでも影響を受け得る(つまり多くのWindows 2000に危険性がある)事が確認された。
というわけで改めて。全てのWindows 2000に修正プログラムを!!
参照
●マイクロソフトTechNetセキュリティセンター
-Windows コンポーネントの未チェックのバッファによりWebサーバーが侵害される(MS03-007) 【緊急】
●Lac SecureNet Service
-New Attack Vectors and a Vulnerability Dissection of MS03-007 An NGSSoftware Insight Security Research publication
●ITmedia news
-当初の報告よりもずっと深刻だったWindows 2000のセキュリティホール 2003年3月26日
-Win2000/IISの脆弱性、「被害報告」の主は米軍か 2003年3月20日
-Windows 2000に「被害報告あり」のセキュリティホール 2003年3月18日