【 ここから本文 】
- TOP
- > Topics : システム脆弱性
- >
システム脆弱性
ソーシャルブックマークに登録 :
印刷用ページの表示
[世界]
マイクロソフト、Access用ビューワの脆弱性突く攻撃を警告
“手作業による回避策”を呼びかけ。修正パッチの公開は未定
(2008年07月08日)
米国Microsoftは7月7日、同社のデータベース・ソフトウェア「Microsoft Office Access」の未修整のバグを突く新たなオンライン攻撃が発生しているとの警告を発した。
 |
| この脆弱性に関するセキュリティ・アドバイザリは日本語版のサイトでも公開されている |
同社のセキュリティ・アドバイザリによると、不具合があるのは、「Snapshot Viewer」と呼ばれるAccess用のActiveXコントロールで、Access 2007を除く全バージョンのAccessに搭載されているという。
Microsoftは、このバグを悪用した攻撃がどのような形で行われるのかという点について詳しい内容を明らかにしておらず、現在行われている攻撃についても調査中としている。同社の広報担当者ビル・シスク(Bill Sisk)氏は、ブログへの書き込みで、「現在行われている攻撃は、ターゲットを絞ったものであり、不特定多数のユーザーを対象としたものではないようだ」と述べている。
Microsoftはセキュリティ・アドバイザリに、この問題を回避するための対策を示しているが、バグを修正する時期については明らかにしていない。Sisk氏は、「影響を受けるおそれのある顧客に対しては、セキュリティ・アドバイザリに記載してある手作業による回避策を講じるよう推奨している。この対策は、脆弱性を根本的に修正するものではないが、われわれもテスト済みであり、既知の攻撃を阻止することはできる」と説明している。
Snapshot Viewerは、Accessを起動することなくAccessのリポートを閲覧するための機能で、スタンドアロン・ソフトウェアとしてもダウンロードできる。
米国VeriSignのiDefense Rapid Response Teamのディレクター、マシュー・リチャード(Matthew Richard)氏は、Snapshot ViewerにはMicrosoftのデジタル署名が付いているため、Microsoftのソフトウェアを常に信頼するという設定でIEを構成していると、気づかないうちにSnapshot Viewerをダウンロードしてしまい、攻撃を受けるおそれがあると注意を促している。
(Robert McMillan/IDG News Serviceサンフランシスコ支局)
[米国]マイクロソフト、4種類の“重要”セキュリティ・パッチを7月9日に公開
Windows、SQL Server、Exchangeの問題を修正
[米国]マイクロソフト、IE 8のセキュリティ新機能を一部披露
来月リリース予定のベータ2に搭載
[世界]【ETH Zurich調査】Webブラウザの約4割が未パッチ状態――チューリッヒ工科大学が報告
「問題の大半はベンダー側の対策不足にあり」と研究員が指摘
[世界]IE6にゼロデイ攻撃の危険性――実証コード公開でも修正パッチは配布されず
ブラウザ上でのあらゆる作業を追跡/捕捉されるおそれも
【解説】マイクロソフトのセキュリティ戦略――ゲイツ氏の“功罪”とは
問題の元凶から改革の旗振り役に転向したトップのメッセージ
