セキュリティ アドバイザリ (2659883) の脆弱性を解決する MS11-100 を定例外で公開


2011 年 12 月 29 日に定例外の事前通知でお伝えした通り、本日、12 月 30 日に定例外でセキュリティ アドバイザリ (2659883) で説明していた ASP.NET の問題に対応するセキュリティ情報 MS11-100 を公開しました。

MS11-100 のセキュリティ更新プログラムは、事前にお伝えした ASP.NET の ハッシュテーブルの衝突の脆弱性 (CVE-2011-3414) に加え、非公開で報告された 3件の脆弱性を解決します。このセキュリティ更新プログラムは、2011 年 12 月29 日に公開したセキュリティ アドバイザリ (2659883) で説明した脆弱性に対応しています。マイクロソフトは影響を受けるすべての環境に対して MS11-100 のセキュリティ更新プログラムを早期に適用いただくことを推奨します。

今回のセキュリティ更新プログラムでは、4件の脆弱性が修正されています。このうち3件については、次回のセキュリティ情報の公開日にリリースする予定のものでした。マイクロソフトは、数週間前に 1件の ASP.NET の脆弱性の報告を受け、本日、4件の脆弱性を修正したセキュリティ更新プログラムとして公開しました。定例外で公開した理由は、脆弱性の詳細情報が一般に公開されたこととセキュリティ更新プログラムの品質が確保できたと判断したためです。

MAPP (Microsoft Active Protection Program) の対応
今回のセキュリティ情報の詳細は、MAPP パートナーに事前に共有されています。そのため、定義ファイルが作成されている MAPP パートナーの IPS/IDS 製品を導入済みの場合、ハッシュテーブルの衝突の脆弱性 (CVE-2011-3414) を悪用した攻撃から自社のシステムを守ることができます。マイクロソフト製品の Threat Management Gateway (TMG) の場合、既に Vulnerability:Win/ASPNET.POST.DoS!CVE-2011-3414 として定義ファイルが作成されています。

また、12 月 29 日のブログで、この脆弱性はいくつかの Web アプリケーションベンダーについても影響を与えることをお伝えしましたが、MAPP で共有された情報により、マイクロソフト製品だけでなく、他社の Web アプリケーションについても、MAPP パートナーの IPS/IDS 製品をご利用の場合、脆弱性を悪用した攻撃からシステムを保護することができます。

MS11-100 の定例外のセキュリティ更新プログラムは、本日 2011 年 12 月 30 日よりダウンロードセンターのほか、自動更新、Microsoft Update, Windows Update, WSUS経由で提供されます。

参考情報

Skip to main content