マイクロソフトは12日、あらたに3件のセキュリティ警告を発表した。対象となるシステムは、IIS4.0/5.0、WindowsNT4.0/2000/XP、SQL Server 2000である。いずれも深刻度は「高」から「中」となっている。
まず、IIS(Internet Information Server)4.0および5.0が対象のセキュリティホールだが、チャンク転送エンコードによるデータ転送でヒープのオーバーランが起きるというもの。IISが不正終了させられたり、任意のコードを実行されるおそれがある。ウェブアプリケーションでHTRを使用していない場合は、HTRをオフにすることで回避できる。HTRをオフにできない場合は、マイクロソフトが提供している修正を適用する必要がある。
3つめ、SQL Server 2000のセキュリティホールは、SQLXMLに含まれる2つの脆弱性によるもの。ひとつは、SQLXML ISAPIエクステンションに未チェックのバッファがあり、バッファオーバーラン攻撃を受けるおそれがあるというもの。もうひとつは、ウェブサーバとSQLXMLを組み合わせて使用する場合に、そのサイトを訪れたユーザに対して、本来より高い権限のゾーン(イントラネットゾーンなど)でスクリプトを実行させるよう“注入”できるというもの。後者の場合、被害者はSQL Server 2000の運用者ではなく、その利用者となる。
