Broadband Watch logo
最新ニュース
【 2009/12/25 】
【 2009/12/24 】
多くのWindowsが影響を受ける「MDAC」の脆弱性が“緊急”で警告される

 マイクロソフトは21日、ほとんどのWindowsに含まれているコンポーネント「Microsoft Data Access Components(MDAC)」の脆弱性を公開した。1つ目は、2002年8月1日に発見されたMDAC機能の未チェックのバッファにより、システムが侵害される脆弱性「MS02-040」。2つ目は、MDAC機能の未チェックのバッファにより、不正なプログラムが実行される可能性がある脆弱性「MS03-033」だ。「MS02-040」は深刻度“緊急”、「MS03-033」は深刻度“重要”とされている。


1年前に発見された脆弱性が、実は全Windowsに影響があると発覚

 「MS02-040」は、1年前の公開当初にはWindows SQL Server 7.0/2000がインストールされているマシンのみが影響を受ける脆弱性と発表していた。しかし、8月21日になってSQL Server 7.0/2000をインストールしていなくても、MDAC 2.5/2.6/2.7がインストールされていれば影響を受けると改正した。この改正により、Windows XP/2000/Meはデフォルトで影響を受けるほか、ほかのWindowsでもMDAC 2.5/2.6/2.7をインストールしていれば影響を受けることが判明した。

 「MS02-040」を攻撃者が悪用すると、細工を施したWebサイトやHTMLメールを閲覧しただけで、PC上で任意のコードが実行させられる可能性がある。このため、公開当初は深刻度“中(重要)”だったが、8月21日に“緊急”へ引き上げられた。


パッチを当てる際には2つの注意事項が存在する

 「MS02-040」の修正パッチは「MS03-033」に含まれているため、「MS03-033」の修正パッチを当てれば修正されるが、パッチを当てる際に以下のような2つの問題が発生する可能性があるため、注意が必要だ。

 ・脆弱性を修正するためには「odbc32.dll」を修正済みのものに置き換えなければならないが、パッチを当てる際に何らかのアプリケーションがodbc32.dllを使用している場合は、置き換えることができない。したがって、脆弱性も修正されない。

 ・MDAC 2.7を利用している場合、パッチを適用すると修正済みバージョン「3.520.8721.0」がインストールされるが、その後「MDAC 2.7 Refresh」をインストールしてしまうと、脆弱性が存在する「3.520.9001.0」が上書きされ、脆弱性が再発してしまう。バージョン数は脆弱性が存在する「3.520.9001.0」の方が新しいが、脆弱性が存在しないのは「3.520.8721.0」の方なので注意が必要。

 これらの問題を回避するためには、修正パッチである「MS03-033」を適用する前に「odbc32.dll」を使用しているプロセスが存在しないことを確認してから適用する。また、「MDAC 2.7 Refresh」がインストールしてある場合には、再度修正パッチである「MS03-033」を適用しなければならない。


「MDAC」に関するもう1つの脆弱性

 もう1つの脆弱性である「MS03-033」は、MDACの一部に、バッファオーバーフローの脆弱性が発見されたというもの。脆弱性を利用すると、任意のコードを実行することができるが、攻撃は同一サブネット内からでなければできない。これにより、インターネット経由や異なるサブネットからでは攻撃は成功しないため、実質的な危険度は低めとなる。したがって、深刻度も上から2番目の“重要”となっている。

 影響を受けるMDACは、MDAC 2.5/2.6/2.7となっており、2.8は影響を受けない。Windows Server 2003/XP/2000/MeにはデフォルトでMDACがインストールされているため、影響を受けるほか、多くのアプリケーションソフトやMDACを単独でインストールする場合があるため、WindowsのバージョンからMDACの有無やバージョンを判断することはできない。

 脆弱性を修正するためには、修正パッチを適用すればよい。修正パッチはマイクロソフトのWebサイト上、もしくはWindowsUpdateから入手することができる。


関連情報

URL
  「MS02-040」情報
  http://www.microsoft.com/japan/technet/security/bulletin/ms02-040.asp
  MS02-040で提供される修正プログラムをインストールする際の注意点
  http://support.microsoft.com/default.aspx?scid=kb;ja;436469
  「MS03-033」情報
  http://www.microsoft.com/japan/technet/security/bulletin/ms03-033.asp
  MDACのバージョンを確認する方法
  http://support.microsoft.com/default.aspx?scid=kb;ja;301202


(大津 心)
2003/08/22 19:07
Broadband Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.