MSのデータベースエンジンに脆弱性、Wordで悪用の恐れ

Microsoft Jet Database Engineの脆弱性を突いた「非常に限定的なターゲット型攻撃」が報告された。

[ITmedia]

　米Microsoftは3月21日、Microsoft Jet Database Engineの脆弱性を突いた攻撃発生の報告があったとしてアドバイザリーを公開した。細工を施したWordファイルをWebサイトに仕掛ける形で悪用される恐れがあるという。

　アドバイザリーによると、Jet Database Engineにバッファオーバーランの脆弱性があり、Microsoft Word経由で悪用することが可能。この脆弱性を突いた「非常に限定的なターゲット型攻撃」が報告されているという。

　脆弱性を悪用すると、細工を施したWordファイルをWebサイトに仕込んで攻撃を仕掛けることが可能。ハッキングされたサイトや、ユーザーがコンテンツを投稿できるサイトが利用される可能性もある。攻撃が成功すると、攻撃者がローカルユーザーと同じ権限を取得することが可能になる。

　ただし現時点で起きている攻撃は、ユーザーが複数の動作をしない限り成立せず、リスクは限定的だとMicrosoftは見ているという。

　影響を受けるのはMicrosoft Windows 2000、Windows XP、Windows Server 2003 SP1の各OSで、Word 2000 SP3、Word 2002 SP3、Word 2003 SP2／SP3、Word 2007 SP1を実行している場合。なお、Windows Server 2003 SP2、Windows Vista SP1には脆弱性は存在しない。

　Microsoftは現在この問題について調査中で、調査を完了後に月例パッチまたは臨時パッチの提供など適切な措置を取る方針。