MS月例アップデート公開 Wordを使った.mdbの悪用を防止

[ITmedia]

　米Microsoftは5月13日（日本時間14日）、事前通知通り「緊急」レベル3件、「警告」レベル1件のセキュリティ情報を公開し、WordやJet Database Engine (Jet）の脆弱性に対処した。

　緊急レベルのうち「MS08-028」の更新プログラムで対処したJet 4.0 Database Engineの脆弱性は、Microsoftが3月にアドバイザリー（950627）を公開して注意を呼びかけていたもの。この問題を突いた「限定的な」攻撃も実際に発生している。

　この脆弱性は、細工を施した.mdbファイルをWordファイルの中に仕込んでユーザーに送り付け、Wordファイルを開かせるか、細工を施したファイルを含む電子メールを表示させる手口で悪用することができてしまう。Outlook 2003／2007ではプレビューウィンドウでHTML文書を表示されて攻撃することも可能になる。

　Microsoftは従来、.mdb関連の攻撃には対処しない方針だったが、Word文書を使った新しい攻撃方法が浮上したため方針を転換し、対処すると表明していた。

　その新しい攻撃方法を防止したのがWordの脆弱性に対処したパッチ「MS08-026」。これを適用することで、WordからJetを不正に使用できなくしているため、「MS08-028」と併せて適用することを勧告している。

　「MS08-026」ではこれとは別に、非公開で報告されたオブジェクト解析の脆弱性とCSSの脆弱性も修正している。影響を受けるソフト／バージョンには、Office XP SP3、2007 Microsoft Office System／SP1、Outlook 2007／SP1、Office 2008 Macなどが含まれる。

　残る1件の緊急レベルパッチ「MS08-027」は、Publisherのオブジェクトハンドラの検証に関する脆弱性に対処した。この問題はPublisher 2000 SP3で特に深刻度が高くなっている。

　警告レベルパッチの「MS08-029」は、セキュリティソフトのForefront Client Protection、OneCare、Windows Defenderなどが対象。Microsoft Malware Protection Engineに存在するサービス妨害（DoS）問題に対処した。