米Microsoftは米国時間2008年7月7日,Microsoft Access用「Snapshot Viewer」のActiveXコントロールにセキュリティ・ホールが存在し,遠隔コード実行に悪用される恐れがあるという情報「Microsoft Security Advisory(955179)」を発表した。まだ修正パッチを公開しておらず,回避策をとるよう呼びかけている。
Snapshot Viewerは,Accessのない環境でAccessのレポート・スナップショットを閲覧するためのソフトウエア。細工されたWebページを閲覧すると,同ソフトウエアのセキュリティ・ホールが攻撃を受け,任意のコードを実行される可能性がある。コードは,攻撃用Webページを閲覧しているユーザーと同じ権限を持つ。
同社は「Internet Explorer(IE)」で(1)COMオブジェクトの動作を止める,(2)アクティブ・スクリプト実行前に警告させるか「インターネット」「ローカル・イントラネット」の両ゾーンでアクティブ・スクリプト実行を禁止する,(3)「インターネット」「ローカル・イントラネット」両ゾーンの「セキュリティのレベル」を「High(高)」にする,という設定による回避策を推奨している。
問題のセキュリティ・ホールが存在するSnapshot Viewerは,「Microsoft Office Access 2000」「同2002」「同2003」用。
このセキュリティ・ホールに対し,セキュリティ関連組織のUS-CERTは「VU#837785」という管理番号を割り当てた。
[発表資料へ]
