多くのWindowsが影響を受ける「MDAC」の脆弱性が“緊急”で警告される

最新ニュース

【 2009/12/25 】

■

初詣に参拝できるiPhone向けアプリ「ｉ神社」

[18:46]

■

GyaO!、千葉真一主演の映画「戦国自衛隊」などを無料配信

[18:27]

■

NTT東、フレッツ・ADSLやひかり電話ルータ利用者に誤請求

[17:50]

■

総務省調査、NTT東西のブロードバンド契約数シェアは51.1％

[17:29]

■

Cerevo、写真管理サービス「CEREVO LIFE」でプリント注文に対応

[17:11]

■

「Yahoo!テレビ.Ｇガイド」の日テレ番組内に“公式情報”追加

[15:31]

■

ServersManと連携できるカメラアプリがスマートフォン対応に

[14:53]

■

「ウサビッチ」制作会社の新作アニメ「やんやんマチコ」無料配信

[14:26]

■

はてなブックマーク、コメント一覧を表示できるブログパーツ

[13:55]

■

グリー、PC版「GREE」でFlashゲームの提供を開始

[13:21]

■

NHKオンデマンド、「第60回紅白歌合戦」を期間限定で配信

[11:54]

【 2009/12/24 】

■

GyaO!、アニメ「テガミバチ」や「赤ちゃんと僕」を無料配信

[18:46]

■

アニメワン、「うみねこのなく頃に」全26話を期間限定で無料配信

[18:39]

■

大和ハウス工業、Twitterクライアント搭載の家型アプリ

[18:03]

■

PS Store、アーカイブスで「NOeL NOT DiGITAL」など5タイトル

[17:49]

■

USEN、ISP事業をSo-netに譲渡

[17:33]

■

ニコ生、ユーザー生放送などでもタイムシフト機能が利用可能に

[16:40]

■

テレ朝の新ドラマ「宿命」第1話のネット無料試写会、1月13日から

[16:17]

■

ロジテック、FM放送に特化したPCラジオチューナー「LRT-FM200U」

[14:23]

■

リンクシェア、ブックマークレット機能で
TwitterとFacebook連携

[14:03]

■

アイ・オー、LAN DISK HomeでUSB機器共有の無料提供キャンペーン

[12:45]

■

フジテレビ On Demand、「不毛地帯」前半10話を一挙配信開始

[12:44]

多くのWindowsが影響を受ける「MDAC」の脆弱性が“緊急”で警告される

　マイクロソフトは21日、ほとんどのWindowsに含まれているコンポーネント「Microsoft Data Access Components（MDAC）」の脆弱性を公開した。1つ目は、2002年8月1日に発見されたMDAC機能の未チェックのバッファにより、システムが侵害される脆弱性「MS02-040」。2つ目は、MDAC機能の未チェックのバッファにより、不正なプログラムが実行される可能性がある脆弱性「MS03-033」だ。「MS02-040」は深刻度“緊急”、「MS03-033」は深刻度“重要”とされている。

■ 1年前に発見された脆弱性が、実は全Windowsに影響があると発覚

　「MS02-040」は、1年前の公開当初にはWindows SQL Server 7.0/2000がインストールされているマシンのみが影響を受ける脆弱性と発表していた。しかし、8月21日になってSQL Server 7.0/2000をインストールしていなくても、MDAC 2.5/2.6/2.7がインストールされていれば影響を受けると改正した。この改正により、Windows XP/2000/Meはデフォルトで影響を受けるほか、ほかのWindowsでもMDAC 2.5/2.6/2.7をインストールしていれば影響を受けることが判明した。

　「MS02-040」を攻撃者が悪用すると、細工を施したWebサイトやHTMLメールを閲覧しただけで、PC上で任意のコードが実行させられる可能性がある。このため、公開当初は深刻度“中（重要）”だったが、8月21日に“緊急”へ引き上げられた。

■ パッチを当てる際には2つの注意事項が存在する

　「MS02-040」の修正パッチは「MS03-033」に含まれているため、「MS03-033」の修正パッチを当てれば修正されるが、パッチを当てる際に以下のような2つの問題が発生する可能性があるため、注意が必要だ。

　・脆弱性を修正するためには「odbc32.dll」を修正済みのものに置き換えなければならないが、パッチを当てる際に何らかのアプリケーションがodbc32.dllを使用している場合は、置き換えることができない。したがって、脆弱性も修正されない。

　・MDAC 2.7を利用している場合、パッチを適用すると修正済みバージョン「3.520.8721.0」がインストールされるが、その後「MDAC 2.7 Refresh」をインストールしてしまうと、脆弱性が存在する「3.520.9001.0」が上書きされ、脆弱性が再発してしまう。バージョン数は脆弱性が存在する「3.520.9001.0」の方が新しいが、脆弱性が存在しないのは「3.520.8721.0」の方なので注意が必要。

　これらの問題を回避するためには、修正パッチである「MS03-033」を適用する前に「odbc32.dll」を使用しているプロセスが存在しないことを確認してから適用する。また、「MDAC 2.7 Refresh」がインストールしてある場合には、再度修正パッチである「MS03-033」を適用しなければならない。

■ 「MDAC」に関するもう1つの脆弱性

　もう1つの脆弱性である「MS03-033」は、MDACの一部に、バッファオーバーフローの脆弱性が発見されたというもの。脆弱性を利用すると、任意のコードを実行することができるが、攻撃は同一サブネット内からでなければできない。これにより、インターネット経由や異なるサブネットからでは攻撃は成功しないため、実質的な危険度は低めとなる。したがって、深刻度も上から2番目の“重要”となっている。

　影響を受けるMDACは、MDAC 2.5/2.6/2.7となっており、2.8は影響を受けない。Windows Server 2003/XP/2000/MeにはデフォルトでMDACがインストールされているため、影響を受けるほか、多くのアプリケーションソフトやMDACを単独でインストールする場合があるため、WindowsのバージョンからMDACの有無やバージョンを判断することはできない。

　脆弱性を修正するためには、修正パッチを適用すればよい。修正パッチはマイクロソフトのWebサイト上、もしくはWindowsUpdateから入手することができる。

■ ＵＲＬ
　「MS02-040」情報
　 http://www.microsoft.com/japan/technet/security/bulletin/ms02-040.asp
　 MS02-040で提供される修正プログラムをインストールする際の注意点
　 http://support.microsoft.com/default.aspx?scid=kb;ja;436469
　「MS03-033」情報
　 http://www.microsoft.com/japan/technet/security/bulletin/ms03-033.asp
　 MDACのバージョンを確認する方法
　 http://support.microsoft.com/default.aspx?scid=kb;ja;301202

（大津心）
2003/08/22 19:07

Broadband Watch ホームページ

Copyright (c) 2003 Impress Corporation All rights reserved.