マイクロソフトは4月24日,Windows 2000に見つかった「緊急」のセキュリティ・ホールと同じセキュリティ・ホールが,Windows NT 4.0およびNT 4.0 Terminal Server Edition(TSE)にも存在することを明らかにした。ただし,Windows 2000の場合と異なり,Windows NTではInternet Information Server/Services(IIS)経由で攻撃を受ける恐れはない。このため,深刻度は上から2番目の「重要」である。対策はパッチを適用すること。
3月18日に公開された「緊急」のセキュリティ・ホール「MS03-007」は,Windows 2000だけが影響を受けるとされていた。「IIS経由で容易に攻撃できる」,「セキュリティ・ホールを検証するツールが既に出回っている」――などの理由で,IT Proでは“過去最大級”のセキュリティ・ホールとして警告した(関連記事)。マイクロソフトでも,「TechNet セキュリティ センター」のトップ・ページで警告している。
3月18日以降,米Microsoftが調査を続けた結果,Windows NT 4.0およびNT 4.0 TSEにも同様のセキュリティ・ホールがあることが明らかになったという。そこで今回,Windows NTも影響を受けることを「MS03-007」のセキュリティ情報に追記するとともに,NT用のパッチを公開した。
ただし,Windows NTはWebDAV[用語解説]をサポートしていないので,IISを経由した攻撃を受けることはない。マイクロソフトでは「既知の悪用手段はWindows NT 4.0 には効果はない」としている。そのため,深刻度を「緊急」ではなく,「重要」に設定している。
とはいえ,IIS(WebDAV)経由以外の攻撃が可能であることが報告されているので油断はできない(関連記事)。Windows NTユーザーは速やかにパッチを適用したい。同社ページからダウンロードできるとともに,「Windows Update」からも適用できる。Windows NT 4.0 用のパッチはNT 4.0 SP6a のシステムに,Windows NT 4.0 TSE用のパッチは NT 4.0 TSE SP6 のシステムに適用できる。
「MS03-007」のWindows 2000用パッチは,「MS03-007」以降に公開された「MS03-013」のパッチに含まれている。このためWindows 2000については,「MS03-013」のパッチを適用していれば,「MS03-007」のパッチを適用する必要はない。しかし,Windows NT用のパッチは「MS03-013」には含まれていない。「MS03-013」のパッチを適用済みのユーザーでも,今回公開された「MS03-007」のパッチを改めて適用する必要がある。
◎参考資料
◆Windows コンポーネントの未チェックのバッファにより サーバーが侵害される (815021) (MS03-007) (登録日:2003/3/18,更新日:2003/4/24)
(勝村 幸博=IT Pro)
