［米国］
マイクロソフト、5月の月例パッチを事前通知――緊急3件を含む4件

5月13日に公開開始。懸案だった「Jet Database Engine」のバグも解消へ

（2008年05月09日）

　米国Microsoftは5月8日、5月13日に公開する月例セキュリティ更新プログラムを事前発表した。今月の月例セキュリティ更新プログラムは合計4件で、Windows、「Microsoft Word」、「Microsoft Publisher」、Microsoftの全マルウェア対策ソフトウェア（「Microsoft Antigen」「Microsoft Forefront Security」「Windows Live OneCare」「Windows Defender」）の問題を修正する。

　今回公開されるセキュリティ更新プログラム全4件のうち、3件の深刻度が「緊急」となっている。深刻度が緊急の更新プログラムの1つは、2005年から判明していた「Microsoft Jet Database Engine」のバグを解消する。他の2件の緊急パッチは、WordとPublisherのセキュリティ・ホールをふさぐものだ。

　Jet Database Engineは、「Microsoft Access」や「Microsoft Visual Basic」などのソフトウェアにデータ・アクセス機能を提供するWindowsコンポーネントである。同社は3月22日に公開したセキュリティ・アドバイザリで、Jet Database Engineの重大な脆弱性について警告し、Jet Database Engineのバグを悪用するWordドキュメントによる「非常に限定的な、的を絞った攻撃に関する公開されている報告」の内容を認めた（関連記事）。

米国Microsoft Security Response Center（MSRC）の公式ブログでは、担当者による同社提供セキュリティ・パッチの詳細な情報が記されている

　その数日後、Microsoftのセキュリティ・チームは、Jet Database Engineのこのバグについて2年以上前から把握していたが、明らかな攻撃ベクトルをブロックしたと考えていたため、パッチを提供してこなかったことを認めた。米国Microsoft Security Response Center（MSRC）のオペレーション・マネジャー、マイク・リービー（Mike Reavey）氏はMSRCの公式ブログで、「欠陥を修正するため、Windows 2000、Windows XP、Windows Server 2003 SP1に含まれるJet Database Engineを置き換えることになる可能性がある」とコメントしている（MSRCブログのエントリー）。

　Windows Vista、Windows Server 2003 SP2、リリースされたばかりのWindows XP SP3に含まれるJet Database Engineは問題の脆弱性がなく、置き換える必要がない。今回の事前通知によると、来週公開の月例セキュリティ更新プログラムにより、Windows 2000、XP SP2、Server 2003 SP1に含まれる、バグのあるJet Database Engineが交換される。

　また、米国nCircleのセキュリティ担当ディレクター、アンドルー・ストームズ（Andrew Storms）氏は次のように指摘している。「Microsoftが5月13日にWordを修正するのは、Jet Database Engineの攻撃ベクトルを遮断するためと見られる。彼らは問題の両面を解決しようとしているのだと思う。これは正しいことだ」

　Storms氏は、このバグはマイナーな部類に入るものと見ている。Microsoftは毎月第2火曜日に月例セキュリティ更新プログラムを公開している。同社が13日に今回の事前通知どおりに公開を行えば、2008年1～5月のセキュリティ更新プログラムの公開累計は29件となる。これは前年同期と同数のレベルだ。

(Gregg Keizer／Computerworld米国版)