MS、データベースエンジン脆弱性に「対処しない」を改める

今回悪用された脆弱性は3年前から指摘されていたが、Microsoftはこれまで対処してこなかった。

[ITmedia]

　Microsoft Jet Database Engineの脆弱性を突いたWord攻撃が発生したことを受け、Microsoftはこの脆弱性が数年前から報告されていたことを認めたうえで、これまでの方針を転換して対処に乗り出すと表明した。

　今回見つかったMDBファイルを使った攻撃についてはMcAfeeなどのセキュリティ各社が以前から指摘し、脆弱性情報が3年前に公開されているのにMicrosoftはいまだに対処していないと批判していた。

　Microsoftセキュリティ対策センター（MSRC）のブログではこれについて、MDBファイルは「安全でない」ファイルに分類されているためOutlookやExchangeでは開くことができず、IEでも警告が表示されることからこれまで対処してこなかったと弁明した。

　MSRCによれば、今回の攻撃では2007年11月に報告された脆弱性が悪用されており、攻撃ファイルもこの時に公開されたコンセプト実証ファイルとほとんど同じだった。同様のmsjet40.dllのコラム処理に関する脆弱性情報は2005年3月にも公開されていたという。いずれのケースでもMicrosoftにサンプルが送られていたが、MicrosoftはOutlookなどの回避措置を理由に、この脆弱性には対処しない方針だと返答していたという。

　しかし今回、ウイルス対策ソフトメーカーから送られてきた2種類の不正JETデータベースファイルを調べたところ、Outlookに組み込まれている回避措置がかわされたことが判明。Word文書を開かせてMDBファイルをロードするという新しい手口が見つかったことによりすべてが変わり、これまでの前提は通用しなくなった。このためユーザーに情報を提供し、JET解析の脆弱性について改めて調査を行うことにしたという。

　対策として現在、Word文書が警告なしにMDBファイルをロードしてしまうのを防ぐセキュリティアップデートを配布できるかどうか調査中。この攻撃に対処したmsjet40.dllの新バージョンはWindows Server 2003 SP2とWindows Vista、およびWindows XP SP3のβ版には既に組み込まれおり、これをセキュリティアップデートの一部として配布できるかどうかも検討している。