連載
» 2015年05月12日 05時00分 公開

名前はなくても危険、IISの脆弱性が注目を集めるセキュリティクラスター まとめのまとめ 2015年4月版(3/3 ページ)

[山本洋介山(エヌ・ティ・ティ・コミュニケーションズ),@IT]
前のページへ 1|2|3       

WindowsのIISサーバーに簡単にブルースクリーンが出せる脆弱性が発見されて大騒ぎ

 2015年4月15日には、Microsoft定例アップデートのタイミングで、Windowsで使用されるサーバーソフト「IIS」(Internet Information Services)の脆弱性が明らかになりました。しばらくの間大きな脆弱性が報告されなかったIISですが、久しぶりに大きな被害が見込まれる脆弱性で話題になりました。

 ここ最近の流れでは珍しく(?)名前のない「MS15-034」脆弱性ですが、Windowsの「HTTP.sys」というプログラムに脆弱性があり、Windows2008 R2、2012 R2やWindows7/8で動いているIISサーバーに対して、攻撃コードを含むHTTPリクエストを実行すると、リクエストを受け付けたIISサーバーはOSごとハングアップしてしまいます。

 マイクロソフトから発表があったその日のうちに攻撃コードが公表されたことと、HTTPリクエストを発行するだけというお手軽さから、セキュリティクラスターでもたくさんの人が試しており、その結果を報告していました。

 その週末にはコード実行できるエクスプロイトがいくつか売りに出されていましたが、100万円以上していたため結局「買った」というツイートは見られず、本当にコード実行できるかは分からないまま話題から消えていきました。

 この脆弱性が報告される数日前にはWindowsのファイル共有に関する攻撃手法が報告されましたが、この騒ぎによってすっかり話題から消えてしまっていました。


 この他にも、2015年4月のセキュリティクラスターはこのような話題で盛り上がっていました。5月はどのようなことが起きるのでしょうね。

「セキュリティクラスター まとめのまとめ」バックナンバー

著者プロフィール

山本洋介山

■embeddedTweets:http://bogus.jp/□bogus.jp■

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。