Threatpost - The First Stop For Security News

3月29日(米国時間)、Threatpostに掲載された記事「Publicly Attacked Microsoft IIS Zero Day Unlikely to be Patched|Threatpost|The first stop for security news」が、Microsoft Internet Information Services(IIS)の古いバージョンにゼロデイの脆弱性が存在していると伝えた。この脆弱性は昨年の7月および8月辺りからサイバー攻撃に悪用されているが、Microsoftはこの脆弱性の修正は予定していないとされている。

この脆弱性はMicrosoft Internet Information Services version 6.0のWebDAVサービスで使われているScStoragePathFromUrl関数のバッファオーバーブローに存在するとされている。数日前にこの脆弱性を悪用するための実証コードがGitHubに公開されており注意が必要。

Microsoft Internet Information ServicesはWindows Server 2003とともに出荷されたプロダクトで、すでに2015年7月にサポートが終了している。

W3Techsの報告によればMicrosoft Internet Information ServicesはWebサーバシェアの中で11.4%を占めており第3位につけているほか、Microsoft Internet Information Services 6のシェアは11.3%とされている。問題を一時的に回避するにはWebDAVの機能を無効にすればよいとのこと。