独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)は14日、[緊急対策情報]Microsoft Jet Database Engineの脆弱性(MS08-028)についてを発表した。
今回、脆弱性が指摘されたMicrosoft Jet Database Engineは、OSのコンポーネントの一部であり、データベースの一種。そのデータベース情報を保存したものが、MDBファイルと呼ばれる。実体は、マクロの集合体であるが、機能的には実行形式のEXEファイルとほとんど同様である。データベースへの問い合わせ(クエリーと呼ばれる)の際に、MDBファイルが利用されることがある。
このMDBファイルの解析処理におけるスタックオーバーフローの脆弱性(想定されたデータ量以上のデータを送ることで、本来、書き込まれないはずのデータが隣接のメモリに書き込まれる)を突くことで、リモートからコードが実行される。ユーザーが管理者であると、そのコンピュータの管理権限などを乗っ取り、攻撃者がコンピュータを制御することが可能になるという。
2か月前には、このMDBファイルをMicrosoft Word文書にファイル添付のような形式で巧妙に仕込み、仕込まれたWord文書ファイルをユーザーが操作することで、MDBファイルやWordを介して不正なプログラムが実行される事例が報告されている。
現在のところ、この手法を用いた不正行為は、Word文書ファイルのみであり、Microsoft ExcelやMicrosoft PowerPointでは報告されていないが、この種の不正プログラムは亜種の出現も早く、Microsoft Outlookのような、添付ファイルを自動表示するアプリケーションなどでは、添付されたファイルを実際に実行しない場合でも、不正なプログラムが起動される恐れがある。
この脆弱性に対する修正が必要な対象は以下の通りである。
- Microsoft Windos 2000 Service Pack 4
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 x64 Edition
- Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
同日、マイクロソフトもセキュリティ情報を発表し、修正プログラムの適用を推奨している。マイクロソフト社のセキュリティ情報については、こちらを参照してほしい。
