Microsoft Corporation

Microsoftは4月15日、2015年4月分のセキュリティアップデートを公開したが、それらのうち、特に重大な脆弱性があるとして、複数のメディアがセキュリティアップデートの迅速な適用を呼びかけている。重大な脆弱性とは、HTTPプロトコルスタックに関するもので、悪用されると、遠隔から任意のコードが実行できてしまうおそれがあるという。

当該の脆弱性は「MS15-034で、HTTP.sysに問題があり、サーバに対して細工されたHTTPリクエストを送信されると遠隔から任意のコードが実行できてしまうと説明されている。きわめて簡単に攻撃を実施できてしまうことから、早急にアップデートを適用することが求められる。

Netcraftは「Critical Windows vulnerability affects at least 70 million websites|Netcraft」において、同社の調査によれば7000万台を超えるWebサイトがこの脆弱性の影響を受けるとしている。

また、情報処理推進機構(IPA)はこの脆弱性を悪用した攻撃が容易に行われる可能性が高いことを指摘しており、実際、マイクロソフトのWebサーバ「IIS7」がインストールされたこの脆弱性に未対応のWindows Server 2008 R2に対して、攻撃コードを実行した結果、OSが停止することを確認できたことを明らかにしている。

この脆弱性の影響を受けるバージョンはWindows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows 7、Windows 8、Windows 8.1。該当するプロダクトを使用している場合には迅速なアップデートの実施が推奨される。