セキュリティ関連のメーリング・リストに米国時間3月31日,Microsoft Accessなどに含まれる「Jetデータベースエンジン」のセキュリティ・ホール情報が投稿された。Accessなどがインストールされた環境で,細工が施された拡張子「.mdb」のデータベース・ファイルを開くと,そのファイルに仕込まれた任意のプログラムを実行させられるという。

 このセキュリティ・ホールを突くことが可能であることを示すプログラム(Exploit)も公開されているので注意が必要。パッチなどは公開されていないので,信頼できない.mdbファイルを開かないことが対策となる。ファイル種類にかかわらず,信頼できないファイルを開かないことはセキュリティのセオリーである。

 米国時間3月31日,「HexView」により,Jetデータベースエンジンの主要コンポーネントの一つ「msjet40.dll」にバッファ・オーバーフローのセキュリティ・ホールが見つかったことがBugtraqへ投稿された。同投稿によると,3月30日にMicrosoftへ連絡したが,自動応答のメールが送られてきただけで,人間からの連絡はなかったという。

 この投稿の後,いくつかのベンダーや組織から同様の情報が公表された。例えば,デンマークSecuniaではセキュリティ・ホールを検証後,4月12日付で公表した。Secuniaでは,すべてのパッチを適用済みの Windows XP SP1/SP2のAccess 2003(msjet40.dll version 4.00.8618.0)で,今回のセキュリティ・ホールを確認している。これら以外のバージョンも,同じように影響を受けるだろうという。

 また,このセキュリティ・ホールを突くExploitも公表されている。編集部で確認しているExploitは,電卓プログラム(Calc.exe)を呼び出すだけの“無害”なプログラムだが,これを基に悪質なプログラムを作成することは容易である。

 Microsoftからは情報やパッチは公表されていない。このため,信頼できない.mdbファイルを開かないことが対策となる。実行形式ファイル(.exeなど)ではないからといって,油断してはいけない。ファイルの種類に限らず,信頼できないファイルを開くことは危険である。これは,今回のケースに限ったことではない。

◎参考資料
[HV-HIGH] Microsoft Jet DB engine vulnerabilities
Microsoft Jet Database Engine Malformed Database File Buffer Overflow Vulnerability
Microsoft Jet Database Engine Database File Parsing Vulnerability

(勝村 幸博=IT Pro)