マイクロソフトが「積み残し」--AccessやOfficeに未修正の脆弱性

Ina Fried(CNET News.com)

2005-04-13 12:32

 Microsoftは、AccessやOfficeを悪用したシステムへの攻撃につながるおそれのある欠陥について、現在調査を進めている。

 セキュリティ情報企業Secuniaが米国時間12日に公開した勧告によると、この脆弱性は、Jetデータベースエンジンのコンポーネント中に存在するもので、Microsoftが同日公開したパッチで修正した8つの脆弱性とは別のものだという。この脆弱性が攻撃者に悪用された場合、無防備なPCでリモートから悪質なコードが実行されてしまう可能性がある。

 このセキュリティーホールは、Microsoft OfficeやデータベースプログラムのMicrosoft Accessなどのソフトウェアに影響する可能性があるが、ただしMicrosoftでは、このセキュリティーホールの存在を確認していない。

 Secuniaでは、この問題の深刻度を「極めて緊急」に分類している、同社は、この欠陥を悪用するためのコードがだれでも参加できるメーリングリストで共有されていると指摘する。

 「この脆弱性は、データベースファイルのパーシング中に発生するメモリハンドリングに関するエラーが原因で生じたものだ」とSecuniaの勧告には書かれている「この脆弱性を悪用すれば、ユーザをだまして、特別に細工した『.mdb』ファイルをMicrosoft Accessで開かせ、任意のコードを実行することが可能になる」(Secunia)

 Microsoft関係者は同日、このセキュリティーホールを悪用した攻撃が顧客のシステムに加えられたという報告は無いと語った。

 「われわれは、この脆弱性を悪用するコードが出回っていることを認識している」とこの関係者は語り、Microsoftとしては、この問題の調査が完了した時点で適切な対応を取ることにしていると付け加えた。

 Secuniaによると、この欠陥を最初に公表したのはHexViewというセキュリティ調査会社だという。

 脆弱性を発見した場合の情報開示に関するタイミングや方法については、いまだに議論が続いている。Microsoftでは、セキュリティ研究者が同社の製品に脆弱性を見つけた場合、それを公表する前にまず同社に連絡を取り、同社が情報公開と同時にパッチもリリースできるようにするべきだと考えており、そうした対応をとらないセキュリティ対策企業を非難している。

 「この調査会社が先に脆弱性を公表してしまったを残念に思う」(Microsoft関係者)

 HexViewは、3月30日にMicrosoftにこの問題を知らせたものの、何の返事も受け取っていないと、自社の勧告のなかで述べている。

 これに対し、Microsoftの関係者は、HexViewからそのような連絡を受けた記録はないとしている。

 今回の問題は、Microsoftが8つの欠陥について修正パッチをリリースしたのと同じ日に明らかにされた。このパッチで修正された欠陥には、緊急レベルの欠陥や、月例のセキュリティ報告で初めて公開された欠陥も含まれていた。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. セキュリティ

    生成AIを利用した標的型攻撃とはどのようなものなのか?実態を明らかにして効果的な対策を考える

  5. ビジネスアプリケーション

    Microsoft 365で全てを完結しない選択、サイボウズが提示するGaroonとの連携による効果

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]