公開日:2008/03/24 最終更新日:2008/08/25

JVNVU#936529
Microsoft Jet Database Engine におけるバッファオーバーフローの脆弱性
緊急

概要

Microsoft Jet Database Engine には、バッファオーバーフローの脆弱性が存在します。

影響を受けるシステム

OS や利用環境により異なります。
詳しくは、Microsoft から公開されている情報をご確認ください。

詳細情報

Microsoft Jet Database Engine (別名 Joint Engine Technology)は、Access や Visual Basic などマイクロソフト製品によって使用されるデータベースエンジンです。

たとえば、Microsoft Access では、データベースファイルの拡張子には通常 .mdb を使用します。また、 Word ファイルには、データベースファイルへのリンクを埋め込むこともでき、Word ファイルを開くことにより自動的にデータベースファイルを開かれる可能性もあります。

Microsoft Jet Database Engine には、バッファオーバーフローの脆弱性が存在します。

2008年3月24日現在、この脆弱性を悪用した標的型攻撃が行われているとの情報が Microsoft より公開されています。

想定される影響

遠隔の第三者によって細工された Word ファイルや Access の .mdb ファイルなどを開くことによって、任意のコードを実行される可能性があります。

対策方法

公式パッチは公開されていません。

2008年3月24日現在、以下の回避策がマイクロソフトより公開されています。

Microsoft Jet Database Engine の実行を制限する
メールサーバー等でMDBファイルをブロックする

詳しくは、セキュリティ アドバイザリ (950627) 内の[概説] - [推奨するアクション] - [回避策]をご確認ください。

参考情報

  1. US-CERT Vulnerability Note VU#936529
    Microsoft Jet Engine stack buffer overflow

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2008.03.24における脆弱性分析結果  緊急

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 ある程度の専門知識や運 (条件が揃う確率は高い) が必要
  • 中 - 高

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2007-6026
[[CVE-2008-1092:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1092]]
JVN iPedia JVNDB-2007-001157
[[JVNDB-2008-001230:http://jvndb.jvn.jp/contents/ja/2008/JVNDB-2008-001230.html]]

更新履歴

2008/08/25
関連文書に JVN iPedia へのリンクを追加しました。