MS Jetデータベースエンジンに脆弱性、実証コードも公開済み

[ITmedia]

　セキュリティ企業のSecuniaは4月12日、Microsoft WindowsやOffice、Microsoft Visual Studioなどに含まれる「Jetデータベースエンジン」に、リモートから任意のコードを実行される恐れのある脆弱性が存在するとし、情報を公開した。

　この脆弱性はもともと、HexViewと名乗る人物が3月31日に公開したもの。JetデータベースエンジンはMicrosoft Accessで提供される簡易データベースエンジンだが、これに含まれる「msjet40.dll」ライブラリにメモリ処理エラーがが存在する。これを悪用するよう細工を施したmdb形式のデータベースファイルを読み込むと、任意のコードを実行される恐れがあるという。

　HexViewによれば、この脆弱性は最新版のmsjet40.dll バージョン4.00.8618.0に存在する。Secuniaで検証を行ったところ、パッチをすべて適用したWindows XP SP1／SP2上で動作するAccess 2003（msjet40.dllのバージョンは同じく4.00.8618.0）で問題が再現されたという。他のバージョンについても脆弱性が存在する可能性が高い。

　問題は、この脆弱性の悪用が可能なことを示すExploitコードが公開されている点だ。メーリングリストに投稿されたExploitでは、mdbファイルを開くと勝手にアクセサリの電卓が起動する。

　HexViewはこの問題を3月30日にMicrosoftに通知したというが、返ってきたのは自動応答のみだったため、情報を公開することにしたという。

　一方マイクロソフトでは、セキュリティレスポンスセンターでこの脆弱性に関する調査を開始しているが、詳細を公開できる段階にはないという。パッチもまだ存在しない。したがって現時点での対策は、信頼できないmdbファイルを開かないよう注意し、自衛を図ることになる。