MicrosoftはWordに関する脆弱性の報告について内容を認めた。この脆弱性は、攻撃者がMicrosoft Jet Database Engineを使ってシステムを攻撃することができるというものだ。JetはAccess、Visual Basic、サードパーティのアプリケーションの間でデータを共有するもの。
Microsoftはアドバイザリの中で、悪用の可能性は「限定的」であるとしている。このWordの脆弱性は、2週間前にPandaとSymantecによって報告されたものだ。米国時間3月3日、Pandaの研究者であるIsmael Briones氏が、この新しい攻撃手法を偶然発見した。さらに3月20日に、SymantecがJet Database Engineの脆弱性についても報告している。Symantecは次のように述べている。
攻撃者は、MSのJetライブラリにファイルをオープンさせる方法を見つけるだけで、この脆弱性を利用して悪意のあるシェルコードを実行することができる。この攻撃は、少しのソーシャルエンジニアリングと、Officeアプリケーションを利用するだけで可能だ。実際、Accessを使わずに、MS WordからMSJET40.DLLを直接呼び出すこともできる。
また、Microsoftはアドバイザリの中で次のように述べている。
Windows Server 2003 Service Pack 2, Windows Vista および Windows Vista Service Pack 1のMicrosoft Jet Database Engineは、本脆弱性の影響を受けないため、本脆弱性を悪用したバッファオーバーランは発生しません。
Microsoft Windows 2000, Windows XP, または Windows Server 2003 Service Pack 1上で、Microsoft Word 2000 Service Pack 3, Microsoft Word 2002 Service Pack 3, Microsoft Word 2003 Service Pack 2, Microsoft Word 2003 Service Pack 3, Microsoft Word 2007, およびMicrosoft Word 2007 Service Pack 1 を使用している場合は、本脆弱を悪用する攻撃の影響を受ける可能性があります。
Microsoftは、この一般に公開された報告およびお客様への影響を調査しています。 また、この脆弱性を悪用可能な追加のアプリケーションが存在しないかを調査しています。この調査の完了時に、Microsoftはお客様を保護する手助けとなる適切なアクションを行う予定です。 これには、Microsoftの月例のリリースプロセスによるセキュリティ更新プログラムの提供またはお客様のニーズにより、月例のリリースプロセス外でのセキュリティ更新プログラムの提供が含まれる場合があります。
この記述の後Microsoftは、この攻撃が実現するには顧客が複数の操作を行う必要があることから、このリスクは限定的であると繰り返し述べている。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
「セキュリティ」 の新着情報
-
複数のデータセンターを分散させたままでBCP/DRを展開:山武
業務に必要なシステムをデータセンターで稼働させている企業は多いと思うが、災害復旧(DR)を中心とした事業継続計画(BCP)... - アップル、「iPhone」のSMS脆弱性を修正へ--IDG News Service報道
- シマンテック、アジア太平洋地域における中小企業のセキュリティ課題をレポート
- ATMのセキュリティに関する講演が中止に--米セキュリティカンファレンス
- スパムの83.2%がボットネットから--シマンテック調査
- セキュリティ 一覧へ »
「Zero Day」 のバックナンバー
-
マンチェスター市役所がConfickerワームで240万ドルの実害を被る
マンチェスター市役所が、Confickerワームによってうけた被害について監査レポートを公開している。このレポートによれば、同市役所はConfickerワームから240万ドルの実害を受けた。 -
Adobe Shockwaveに重大なセキュリティホール -- 数億人に影響
-
中国の検閲ソフトウェアに対するリモートからコードを実行する攻撃コードが公開される
-
モジラが新たな技術でXSSに取り組む
-
Month of Twitter Bugs:研究者が7月の1ヶ月間、Twitter関連のバグを追求
- Zero Day 一覧へ »
ZDNet Japan Essential Topic
-
企業セキュリティ対策、待ったなし
ここを読めばセキュリティの動向、つかめます -
ストレージ、イチから勉強しませんか?
ネットワークに仮想化、ストレージの流行も教えます
企画特集
-
インターネット上の悪意を未然に防ぐには?
ブラウザに備わったセキュリティ機能を徹底解説 -
パンデミック対策特集
2009年のパンデミック発生から再考する事業継続計画 -
SOA、BPM、SaaS −今、企業に必要なこと
ビジネス・アプリケーションの今を網羅する特設サイト -
そのストレージで仮想化に対応できますか?
メリット盛りだくさんのサンのオープンストレージ製品 -
ロリポップ!がリニューアル
【第1回】創業者の家入一真氏が語る誕生秘話!! -
【徹底対談】運用管理ツールの賢い使い方
市場背景〜仮想化管理までアナリストが解説! -
今注目の「サジェスト検索」−デモ掲載中
システムのユーザビリティに革命を起こす技術とは -
セキュリティ&ユーザ事例【SIer Club】
最新のセキュリティ情報と提案事例が満載 -
集積度も性能も、業界最高水準のブレードPC
サーバの実装技術を、シン・クライアントへ応用 -
◆エン・ジャパン厳選求人☆毎週更新◆
不況下でも急成長の秘訣とは?注目企業の取組みも公開! -
ESBでIT投資の無駄を劇的に解消する
IBM IMPACT 2009を徹底レポート! -
ストレージメディア特設サイト開設
仮想化環境において最適なソリューションを! -
マネジメントの「コラム」と「コネタ」
今日のキーパーソンは誰? -
中小企業のセキュリティリスクとは?
導入する側・される側 得するセキュリティ製品 -
仮想環境を実現するソリューション特集
仮想化導入時、こんなところ気にしてますか? -
サービス・ドリヴン・データセンター
コスト効果の高いデータセンター構築には? -
サーバー監視・運用のコストを削減するには
エージェントレス方式を用いたパトロールクラリスで -
■ストレージ容量50%削減保証■
ネットアップによる削減保証キャンペーン実施中 -
エンタープライズにおけるSUSEの強み
次世代データセンターの基盤は11だ。
幸い今回は弱毒性で大事には至らなかったが、まだ油断はできない。企業活動を停止すると、大きな経済的損害や社会的信用の低下を招いてしまう。 
サーバやOS、アプリケーションなどの世界ではオープンソーススタンダードが市場を牽引する現在、ストレージの世界でもオープン化の流れが始まっている。 
ZDNet Japanからのお知らせ
- ご回答にはCNET_IDご登録が必要です。
Intel Video Series
-
15. プラグマフリー構文
この4分間のビデオは、プラグマ構文を知らなくてもOpenMPディレクティブ... -
16. 並列性の用語定義
この6分間のビデオでは、このシリーズのビデオを通じて使用される用語を...
新着企業動向
-
ワンダーウォールなど3社、サイトに花を贈れるサービス「花サイト」をプレ・リリース
ワンダーウォール -
SaaSとERPの連携事例紹介セミナー
NTTソフトウェア -
GMO-HS「アイル」、共用サーバー「Infinito」の機能を強化
〜 ディスク容量の大幅増強 や ...
GMOホスティング&セキュリティ -
セキュリティ診断
NRIセキュアテクノロジーズ - 企業動向一覧へ»
