マイクロソフトが「積み残し」--AccessやOfficeに未対応の脆弱性

　Microsoftは、AccessやOfficeを悪用したシステムへの攻撃につながるおそれのある欠陥について、現在調査を進めている。

　セキュリティ情報企業Secuniaが米国時間12日に公開した勧告によると、この脆弱性は、Jetデータベースエンジンのコンポーネント中に存在するもので、Microsoftが同日公開したパッチで修正した8つの脆弱性とは別のものだという。この脆弱性が攻撃者に悪用された場合、無防備なPCでリモートから悪質なコードが実行されてしまう可能性がある。

　このセキュリティーホールは、Microsoft OfficeやデータベースプログラムのMicrosoft Accessなどのソフトウェアに影響する可能性があるが、ただしMicrosoftでは、このセキュリティーホールの存在を確認していない。

　Secuniaでは、この問題の深刻度を「極めて緊急」に分類している、同社は、この欠陥を悪用するためのコードがだれでも参加できるメーリングリストで共有されていると指摘する。

　「この脆弱性は、データベースファイルのパーシング中に発生するメモリハンドリングに関するエラーが原因で生じたものだ」とSecuniaの勧告には書かれている「この脆弱性を悪用すれば、ユーザをだまして、特別に細工した『.mdb』ファイルをMicrosoft Accessで開かせ、任意のコードを実行することが可能になる」（Secunia）

　Microsoft関係者は同日、このセキュリティーホールを悪用した攻撃が顧客のシステムに加えられたという報告は無いと語った。

　「われわれは、この脆弱性を悪用するコードが出回っていることを認識している」とこの関係者は語り、Microsoftとしては、この問題の調査が完了した時点で適切な対応を取ることにしていると付け加えた。

　Secuniaによると、この欠陥を最初に公表したのはHexViewというセキュリティ調査会社だという。

　脆弱性を発見した場合の情報開示に関するタイミングや方法については、いまだに議論が続いている。Microsoftでは、セキュリティ研究者が同社の製品に脆弱性を見つけた場合、それを公表する前にまず同社に連絡を取り、同社が情報公開と同時にパッチもリリースできるようにするべきだと考えており、そうした対応をとらないセキュリティ対策企業を非難している。

　「この調査会社が先に脆弱性を公表してしまったを残念に思う」（Microsoft関係者）

　HexViewは、3月30日にMicrosoftにこの問題を知らせたものの、何の返事も受け取っていないと、自社の勧告のなかで述べている。

　これに対し、Microsoftの関係者は、HexViewからそのような連絡を受けた記録はないとしている。

　今回の問題は、Microsoftが8つの欠陥について修正パッチをリリースしたのと同じ日に明らかにされた。このパッチで修正された欠陥には、緊急レベルの欠陥や、月例のセキュリティ報告で初めて公開された欠陥も含まれていた。