Microsoft .NET戦略の主軸となる.NETアプリケーション実行環境「.NET Framework」にセキュリティ・ホールが見付かった。マイクロソフトは6月7日,この問題の概要を発表(該当サイト)するとともに,修正プログラムのダウンロードを開始した。
問題となるのは,.NET Framework 1.0に含まれるWebアプリケーションの実行コンポーネント「ASP.NET」(Active Server Pages .NET)である。このコンポーネントにバッファ・オーバーフローを引き起こすセキュリティ・ホールが存在した。ASP.NETアプリケーションを実行すると,悪意のある第三者によって不正なプログラムを実行される危険性がある。
ASP.NETにはWebアプリケーションのセッションの状態を管理するいくつかの方法が提供されている。その1つである「StateServerモード」と呼ばれるセッション状態管理モードにおいて,Cookie関連の処理を実行するモジュールに未チェックのバッファが見付かった。ここを攻撃されると,例えば実行中のASP.NETアプリケーションを再起動させることが可能となり,その時点でアプリケーションを利用していたユーザーのすべてのセッション情報が失われてしまうという。
.NET Frameworkは2002年3月にリリースされたばかりなので,攻撃対象となるASP.NET対応のWebアプリケーションはまだ少なく,実際の悪影響は小さいと見られる。だが,.NET Frameworkがインストールされているマシンには修正プログラムを早急に当てておく必要がある。修正プログラムをインストールするには,.NET Frameworkと同時にリリースされた同Service Pack 1も必要になる点に注意してほしい。
なお,このセキュリティ問題はWebサーバーのIIS(Internet Information Services)バージョン5.0以上でASP.NETアプリケーションを動作させたときにしか起こらない。そのため,Windows 2000 Professional/Server,Windows XP Professional以外のマシンに対策を施す必要はない。
