マイクロソフトは、Internet Information Server 4.0とInternet Information Service 5.0および5.1の3製品について、最新版の累積的な修正ファイルの配布を開始した。前回の累積パッチの内容に加え、あらたな脆弱性への対応が含まれている。 あらたに対策された脆弱性は4点で、クロスサイトスクリプティング脆弱性(IIS4.0、5.0、5.1)、サーバサイドインクルード(SSI)機能のバッファオーバーラン(IIS5.0)、ASPヘッダ生成に関するサービス拒否攻撃(IIS4.0、5.0)、WebDAVに関するサービス拒否攻撃(IIS5.0、5.1)が対策されている。 このうち、もっとも深刻度が高いとされているのはWebDAVについてのサービス拒否攻撃で「重要」とされている。なお、SSIのバッファオーバーランについては任意のコードを外部から実行されるおそれがあるが、Lockdown toolのデフォルト設定でSSIが使えない設定にされていることや、獲得できる権限がユーザレベルであるため「重要」より一段低い「警告」になっている(とはいえ、SSIが有効になっていれば影響は受ける)。 IISでサーバを運営しているユーザは、Windows Updateなどで対応を行って欲しい。
Windows11、10月5日から段階的に提供開始!
