HOME情報セキュリティ脆弱性対策情報Microsoft Jet Database Engine の脆弱性(MS08-028)について

本文を印刷する

情報セキュリティ

Microsoft Jet Database Engine の脆弱性(MS08-028)について

第08-09-124号

最終更新日:2008年 5月14日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

マイクロソフト社の Microsoft Jet Database Engine(以下、Jetという *1) にリモートからコード(命令)が実行される以下の脆弱性(950749)(MS08-028)が存在します。

  • Jet の MDBファイル(*2)解析処理のスタックオーバフローの脆弱性

攻撃者が巧妙に細工したデータベースクエリ(*3)を作成し、影響を受けるコンピュータ上でJetを使用しているアプリケーションを介して送信することにより、この脆弱性が悪用され、リモートからコードを実行される可能性があります。
ユーザが管理者ユーザ権限でログインしている場合、攻撃者がこの脆弱性を悪用し、影響を受けるコンピュータを完全に制御する可能性があります。

Jet のデータベースファイルをWord文書から開くという攻撃手法を使った不正なプログラムが既に発見されています。また、Microsoft Outlook のようなHTML形式のメールをプレビュー表示する機能をもつメールソフトウェアにおいては、添付ファイルを開かなくても不正なプログラムが実行される可能性があります。
至急、修正プログラムを適用して下さい。

注(*1) Microsoft Jet Database Engine とは、Microsoft Access のようなデータベース管理システムから利用する、データベースシステムである。
 (*2) MDBファイルとは、Microsoft Access 等が利用するデータベース情報を保存したファイルである。
 (*3) データベースクエリとは、データベース管理システムにデータの抽出や変更、削除などを要求する命令を文字列で表したものである。

対象

  • Microsoft Windos 2000 Service Pack 4
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 x64 Edition
  • Microsoft Windows Server 2003 with SP1 for Itanium-based Systems

対策

1. 脆弱性の解消 - 修正プログラムの適用 -

マイクロソフト社から提供されている修正プログラムを適用して下さい。
修正プログラムの適用方法には、Microsoft Update による一括修正の方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。

2. 回避策

マイクロソフト社から提供される情報を参照して下さい。

参考情報

更新履歴

2008年 5月14日 注釈の追記
2008年 5月14日 掲載