情報操作が始まった〜MSのソフトの“裏口”問題、脅威は軽度か(CNN)

 
★阿修羅♪   

[ フォローアップ ] [ フォローアップを投稿 ] [ ★阿修羅♪ Ψ空耳の丘Ψ6 ] [ FAQ ]

 
投稿者 FP親衛隊国家保安本部 日時 2000 年 4 月 18 日 09:12:41:

米マイクロソフトのサーバ側ソフト・コンポーネントに、Webページへの不正アクセスに利用されるおそれのあるパスワード付きの“裏口”があることが明らかになったが、その脅威は深刻なものではないもようだ。The Wall Street Journalのオンライン版によると、マイクロソフトの幹部の1人は、同社の一部のインターネット・ソフトにパスワード付きの裏口をエンジニアが設けていたことを認めた。このパスワードには、ライバル会社のネットスケープを揶揄する表現が使われている。
裏口の存在は、2人のセキュリティ専門家によって発見された。ハッカーがこの裏口を使ってWebサイトの管理ファイルにアクセスすれば、多くの大規模Webサイトの顧客のクレジットカード番号などの情報が漏洩するおそれがあるとみられていた。だが、実際の脅威は、当初懸念されていたよりもはるかに小さいとみられる。
インターネット・ディスカッション・フォーラム「NT BugTraq」を運営しているラス・クーパー氏によると、13日(米国時間)に集まった情報により、「脅威があるのは確かだが、影響が及ぶWebサーバの範囲はごく限られる」と判明したという。同氏は裏口の発見者ではないが、この問題についてマイクロソフトと連絡を取っている。
第1に、影響を受けるのは、Windows NT 4.0サーバの4.0オプション・キットからソフトをインストールしたWebサイトに限られる(Windows 98やWindows 2000を使用していたり、NT 4.0 CD-ROMからソフトをインストールしたWebサイトでは問題は起こらない)。第2に、影響を受けるのは開発ツール「Visual InterDev 1.0」を使用しているサイトに限られる(同ツールの現行版は7.0。Visual InterDev 1.0では、裏口を含むコンポーネントが、アクティブ・サーバ・ページを使用するWebサイトの情報をリンクする機能に利用されている)。第3に、この裏口を利用できるのは、特定のWebサイトのWebオーサリング権限を持つユーザーに限られる。そうしたユーザーがアクティブ・サーバ・ページ(.aspファイル)を操作する可能性はあるが、Webオーサリング・アクセスには有効なユーザー名とパスワードが必要となるため、その行動は追跡できるという。
こうしたことから、脅威は現実に存在しているものの「予防線が何重にも張られていることになる」と同氏は指摘している。
ユーザーは、影響を受けるソフトから裏口のコードを含む「dvwssr.dll」ファイルを削除することで、問題を回避できる。
マイクロソフトは14日、この問題と回避策に関する説明文書を同社のWebサイトに掲載した。



フォローアップ:



  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。