マイクロソフト、IIS向けの累積セキュリティパッチを提供。あらたに公開された10件の脆弱性対策を含む
エンタープライズ
その他
あらたな10の脆弱性の中には、Active Server Pages関連のバッファオーバーラン脆弱性など4つの深刻度「高」のセキュリティホールが含まれているので、IISをインストールしている場合は本累積パッチの適用が必須といえる。
既存のパッチについては、IIS4.0用はNT4.0SP6a以降のセキュリティパッチをすべて収録。IIS5.0用および5.1用は、既存のセキュリティパッチがすべてまとめられている。ただし、IIS4.0の既知の4つの脆弱性(MS00-028/MS00-025/MS99-025/MS99-013)については、管理者による操作で対応することから、累積パッチに修正プログラムが含まれていない。
IISユーザが注意すべきは、この累積パッチにはFrontPage Server ExtensionsやIndex Serverについてのセキュリティパッチが含まれていないという点だ。これらはIISといっしょにインストールされて運用されることが多いものの、IISとは別製品のため、というのがその理由。ただ、例外的にMS01-033「Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される 」についてのパッチはIISへの影響が大きいため、この累積パッチに含められている。
IISの脆弱性は、CodeRedやNIMDAのようなワームの繁殖の温床となりうるもの。IISをインストールしている場合は、パッチの適用を必ずおこなってほしい。
