Microsoftは、「SQL Server」の特定バージョンを稼働するシステム上で、外部からコードを実行される脆弱性があるという複数の報告を調査している。
同社は米国時間12月22日に公開したセキュリティアドバイザリで、次のように述べている。「Microsoftは、脆弱性を攻撃するエクスプロイトコードがインターネットに公開されたことを認識しており、このアドバイザリはその脆弱性に対処するものだ。このエクスプロイトコードに関する当社の調査では、下記の回避策を適用したシステムは影響を受けないことを検証した。現在、Microsoftはこのエクスプロイトコードが使用された攻撃や現時点での顧客への影響を認識していない」
この脆弱性を含むシステムとして、「Microsoft SQL Server 2000」「Microsoft SQL Server 2005」「Microsoft SQL Server 2005 Express Edition」「Microsoft SQL Server 2000 Desktop Engine(MSDE 2000)」「Microsoft SQL Server 2000 Desktop Engine(WMSDE)」「Windows Internal Database(WYukon)」が挙がっている。一方で、「Microsoft SQL Server 7.0 Service Pack 4」「Microsoft SQL Server 2005 Service Pack 3」「Microsoft SQL Server 2008」の各システムは影響を受けないと、アドバイザリは述べている。
Microsoftは、調査を完了してから「顧客を保護するために適切な措置を講じる」予定であり、そうした措置の中にはセキュリティパッチの発行が含まれる可能性があると述べた。このパッチの提供は、サービスパック経由か、月例のセキュリティアップデート、または臨時のセキュリティアップデートを通じて実施されるという。
この脆弱性は12月4日、SEC Consult Vulnerability LabのBernhard Mueller氏によって公開された。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
