題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。
| Tweet |
米マイクロソフトのサーバ側ソフト・コンポーネントに、Webページへの不正アクセスに利用されるおそれのあるパスワード付きの“裏口”があることが明らかになったが、その脅威は深刻なものではないもようだ。The Wall Street Journalのオンライン版によると、マイクロソフトの幹部の1人は、同社の一部のインターネット・ソフトにパスワード付きの裏口をエンジニアが設けていたことを認めた。このパスワードには、ライバル会社のネットスケープを揶揄する表現が使われている。
裏口の存在は、2人のセキュリティ専門家によって発見された。ハッカーがこの裏口を使ってWebサイトの管理ファイルにアクセスすれば、多くの大規模Webサイトの顧客のクレジットカード番号などの情報が漏洩するおそれがあるとみられていた。だが、実際の脅威は、当初懸念されていたよりもはるかに小さいとみられる。
インターネット・ディスカッション・フォーラム「NT BugTraq」を運営しているラス・クーパー氏によると、13日(米国時間)に集まった情報により、「脅威があるのは確かだが、影響が及ぶWebサーバの範囲はごく限られる」と判明したという。同氏は裏口の発見者ではないが、この問題についてマイクロソフトと連絡を取っている。
第1に、影響を受けるのは、Windows NT 4.0サーバの4.0オプション・キットからソフトをインストールしたWebサイトに限られる(Windows 98やWindows 2000を使用していたり、NT 4.0 CD-ROMからソフトをインストールしたWebサイトでは問題は起こらない)。第2に、影響を受けるのは開発ツール「Visual InterDev 1.0」を使用しているサイトに限られる(同ツールの現行版は7.0。Visual InterDev 1.0では、裏口を含むコンポーネントが、アクティブ・サーバ・ページを使用するWebサイトの情報をリンクする機能に利用されている)。第3に、この裏口を利用できるのは、特定のWebサイトのWebオーサリング権限を持つユーザーに限られる。そうしたユーザーがアクティブ・サーバ・ページ(.aspファイル)を操作する可能性はあるが、Webオーサリング・アクセスには有効なユーザー名とパスワードが必要となるため、その行動は追跡できるという。
こうしたことから、脅威は現実に存在しているものの「予防線が何重にも張られていることになる」と同氏は指摘している。
ユーザーは、影響を受けるソフトから裏口のコードを含む「dvwssr.dll」ファイルを削除することで、問題を回避できる。
マイクロソフトは14日、この問題と回避策に関する説明文書を同社のWebサイトに掲載した。
題名には必ず「阿修羅さんへ」と記述してください。