マイクロソフトは、同社のWebコンテンツ管理システム「Microsoft Content Management Server(MCMS) 2001」に、バッファオーバーランを引き起こす未チェックのバッファなど3つの脆弱性があると発表、修正プログラムの提供を開始した。 MCMSのセキュリティホールは、1つ目がユーザ認証APIに含まれる未チェックのバッファで、APIに直接入力を行うコードが含まれているウェブページがある場合、バッファオーバーランによってMCSMを停止させたり(DoS攻撃)、サーバ上で任意のコードを実行させたりできる。ちなみに、実行されるコードはLocal Systemコンテキストとなるため非常に危険だ。深刻度は「高」に設定されている。 2つ目は、ファイルをサーバにアップロードする機能に関する脆弱性。認証を受けていないユーザがサーバ上にファイルをアップロードできる可能性があり、そこからファイルが実行されるおそれがある。 3つ目の脆弱性は、リソースリクエストを介してSQLコマンドを不正実行されるおそれがあるというもの。これを悪用されると、MCMSデータベースの改変が可能となるほか、サーバ上でOSのコマンドが実行されるおそれもある(デフォルト構成の場合、セキュリティコンテキストはドメインユーザとなる)。2つ目と3つ目の脆弱性については、深刻度「中」とされている。 修正プログラムはマイクロソフトのウェブサイトで配布されている。1つめのセキュリティホールは深刻なので、MCMS 2001のユーザは修正プログラムをインストールしていただきたい。 なお、日本語版Windows2000上でMCMS 2001を使用している場合、修正プログラムのインストールに失敗する場合があるとのことで、マイクロソフトが現在、原因を調査している。英語版Windows2000との組み合わせについては問題ないという。
Windows11、10月5日から段階的に提供開始!
