ＰＣとネットの雑記帳 [HIDEHARU's blog 2]

本日2010年9月29日（日本時間）にマイクロソフトは定例外のセキュリティ情報１件（重要１件）を公開しました。現時点では、ダウンロードセンターからのみの提供で、Windows Update/Microsoft Update による提供は準備が整い次第とされています。

今回定例外で公開された MS10-070 のセキュリティ更新プログラムは2010年9月18日付のセキュリティアドバイザリ(2416728)でアナウンスされた ASP.NET の脆弱性に対応するものです。ASP.NET がインストールされたWebサーバーに対する不正なリクエスト送信、Webサイトが返したエラーコードを検証により、十分な情報を入手した場合、暗号化データを読み取る、または改ざんする可能性があることを回避したとしています。

マイクロソフトは影響を受けるすべての環境に対して MS10-070 のセキュリティ更新プログラムを早期することを推奨しています。なお、ASP.NETによる Web サーバーを構築していない場合の適用には悩むところですが、コンポーネントレベルでの影響を受けることも想定されますので、Windows Update/Microsoft Update による提供が開始されるのを目処に対処することが望ましいと考えます。

★追記2010/10/01 14:00
Windows Update/Microsoft Update からの提供も開始されましした。また、ASP.NETによる Web サーバーを構築していない場合の適用等について、セキュリティチームのブログ記事「MS10-070 定例外のセキュリティ情報 FAQ」にて解説が公開されました。他にも２問の解説がありますので、確認をお勧めします。

【引用】---------------------------------
Q. MS10-070 のセキュリティ情報には、「主に ASP.NET がインストールされた Web サーバーがこの脆弱性の影響を受ける」とあります。私は、Web サーバーを構成していませんが、影響を受けますか?
A. ASP.NET を有効にしたWebサーバーを構成していない場合、この脆弱性の影響を直接受けることはありません。しかし、Webサーバーを構成していない場合でも、MS10-070 の影響を受けるソフトウェアに記載の製品をお使いのお客様は影響を受けるコンポーネントを含むため、今後Webサーバーを構成する可能性や新たな攻撃手法が確認される可能性を考慮して、MS10-070 のセキュリティ更新プログラムの自動更新が開始され次第、該当のセキュリティ更新プログラムが提供されます。
-----------------------------------------

-----------

◆MS10-070 : Windows の重要な更新
ASP.NET の脆弱性により、情報漏えいが起こる (2418042)
影響を受けるソフトウェア：Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2
【絵で見るセキュリティ情報】
http://www.microsoft.com/japan/security/bulletins/MS10-070e.mspx
【セキュリティ情報】
http://www.microsoft.com/japan/technet/security/bulletin/ms10-070.mspx

◆マイクロソフト セキュリティ アドバイザリ (2416728)
ASP.NET の脆弱性により、情報漏えいが起こる
http://www.microsoft.com/japan/technet/security/advisory/2416728.mspx

以上