Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

Jetエンジンの脆弱性についてのセキュリティアドバイザリを確認する


 マイクロソフトは22日、修正パッチが提供されていないJetデータベースエンジンの脆弱性を悪用した攻撃が確認されたとして、セキュリティアドバイザリを公開した。

 Jetデータベースエンジンとは、個人用データベース「Access」のエンジンとして開発された小型のデータベースエンジンで、Windowsの各アプリケーションから利用できる。ちなみに、一般的にこのデータベースエンジンで扱うファイルの拡張子は「.mdb」となっている。

 脆弱性情報の対象となっているバージョン「4.0.9505.0」以前のJetエンジンは、Windows XP/2000、Windows Server 2003などに搭載されている。なお、Windows VistaとWindows Server2003 SP2には、脆弱性が修正されたJetエンジンがインストールされているため、これらのOSは脆弱性の影響を受けない。

 対象となっているJetエンジンのDLLファイル「msjet40.dll」には文法解釈処理に問題があり、ある形式のMDBファイルを読み込んだ場合に、OSの構造化例外処理による防護も乗り越えてバッファオーバーフローを引き起こす。結果として、第三者による任意のプログラムの実行を可能にしてしまう。

 なお、この脆弱性は、ソフトウェアの脆弱性データベースCVEに、「CVE-2008-1092」としてすでに登録されている。


Wordだけの組み合わせではないことに注意

 今回のセキュリティアドバイザリ公開のきっかけとなった攻撃コードは、ワープロのWord形式のファイルとなっていて、Wordを通してJetエンジンの脆弱性を突くものだ。

 この攻撃について公表している米McAfeeのブログによると、この攻撃コードはメールの2つの添付ファイルとして送られてくる。そのうちの1つがWordファイルで、ユーザーがこのWordファイルを開くと、これがJetデータベースエンジンにアクセスし、脆弱性を突いて攻撃してくる。

 脆弱性自体はJetエンジンに存在しているのだが、Outlookなどの最近のマイクロソフト製メールクライアントでは、「.mdb」などのデータベースアクセスプログラムには直接アクセスできないようにブロックされている。こうした防護をかいくぐるために、Wordを利用していると考えられる。

 ただし、この脆弱性を「WordとJetエンジンの特定バージョンの組み合わせでのみ起こる」と考えるのは危険だ。

 マイクロソフトからは説明されていないが、Word以外の手段を使っても同様にJetエンジンの脆弱性を突くことが可能となるのではないかと筆者は考える。例えば、メールにはZIPで圧縮しておいてユーザーに解凍させてから.mdbファイルそのものを実行させる、あるいは、Jetエンジンには、ADOなどのデータベースアクセス手段を使えばアクセスできるため、Visual BASICやExcel VBAなどからも脆弱性を突くことは可能なのではないかと思える。

 単に、攻撃に使われたのがWordと特定のバージョンのJetエンジンを持つWindowsの組み合わせであって、このJetエンジンを利用しているWindowsであれば、他のさまざまな形式のファイルからも攻撃される可能性があると考えておくべきだ。

 もちろん、限定的な攻撃だからといって、ゼロデイ攻撃で突かれた脆弱性をそのまま放置しておくのも危険だ。これらはすでに多くのウイルス対策ソフトで不審な攻撃コードとして登録されているので、マイクロソフトのセキュリティアドバイザリにあるように、ウイルス対策ソフトウェアをインストールするなどして、不用意にこの種のファイルをアクセスしないように気をつけたい。

 また、知らないユーザーの作成したファイルを実行しないように注意することも当然重要だ。メールに添付されるものもあるが、今回の攻撃コードはフォーラム形式の電子掲示板などにもアップロードされているようで、Googleなどの検索エンジンでも形跡が確認できる。検索結果には危険なファイルである可能性があることが表示される場合もあるが、ウイルス対策ソフトをインストールせずに、このようなファイルを安易にインターネットから読み込んでしまうのも慎みたい。


関連情報

URL
  マイクロソフト セキュリティ アドバイザリ(950627)
  http://www.microsoft.com/japan/technet/security/advisory/950627.mspx
  CVE-2008-1092
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1092
  米McAfeeのブログエントリ
  http://www.avertlabs.com/research/blog/index.php/2008/03/21/microsoft-jet-database-engine-attacked-through-word/

関連記事
Wordからデータベースの脆弱性を悪用する攻撃、MSがアドバイザリを公開(2008/03/24)


( 大和 哲 )
2008/03/25 13:19

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.