2010 年 9 月のセキュリティ情報 /
https://www.microsoft.com/japan/technet/security/bulletin/ms10-sep.mspx
マイクロソフト セキュリティ情報 MS10-070 – 重要 : ASP.NET の脆弱性により、情報漏えいが起こる (2418042) /
https://www.microsoft.com/japan/technet/security/bulletin/MS10-070.mspx
MS10-070 定例外のセキュリティ情報 FAQ – 日本のセキュリティチーム – Site Home – TechNet Blogs /
http://blogs.technet.com/b/jpsecurity/archive/2010/09/30/3358867.aspx
MSが定例外の修正パッチ「MS10-070」公開、ASP.NETの脆弱性に対応 -INTERNET Watch /
http://internet.watch.impress.co.jp/docs/news/20100929_396790.html
少し遅くなりましたが、Microsoftから定例外のセキュリティ情報が公開されています。
今回は、以前に脆弱性が報告されたASP.NETに関連する脆弱性の修正になっています。
引用元:マイクロソフト セキュリティ情報 MS10-070 – 重要 : ASP.NET の脆弱性により、情報漏えいが起こる (2418042)
このセキュリティ更新プログラムは ASP.NET に存在する一般に公開された脆弱性を解決します。この脆弱性で情報漏えいが起こる可能性があります。攻撃者がこの脆弱性を悪用した場合、ビュー ステートなどのサーバーによって暗号化されたデータを読み取る可能性があります。この脆弱性はデータの改ざんにも使用される可能性があります。この脆弱性の悪用に成功した場合、サーバーによって暗号化されたデータが解読され、改ざんされる可能性があります。Microsoft .NET Framework 3.5 Service Pack 1 より前の Microsoft .NET Framework のバージョンはこの脆弱性のファイルの内容の漏えいについては影響を受けません。
引用元:Impress IT
マイクロソフトによれば、脆弱性はWindows Server OSで使われるすべての.NET Frameworkコンポーネントが影響を受け、既にこの脆弱性を悪用しようとする限定的な攻撃も確認されているという。また、Windows 7/Vista/XPなどのデスクトップOSについても脆弱性があるが、ウェブサーバーを運用していない場合は脆弱性の影響は受けないとしている。
また、日本のセキュリティチームのBlogに今回の修正についてFAQが掲載されていますので、そちらも参考にしてください。対象はXP/2003/Vista/2008/7になっていますので、出来る限り適用するようにしましょう。
