.

Release NEWS

マイクロソフト、セキュリティ修正プログラムの1月版をリリース

MDACに存在するセキュリティ問題などを修正できる

（04/01/14）

セキュリティ情報の1月版（最新版が掲載されるページ）

　マイクロソフト（株）は14日、セキュリティ情報の1月版を発表した。そのなかで、Windowsのデータベース操作の基礎となるコンポーネント「Microsoft Data Access Components」（以下、MDAC）にセキュリティ上の脆弱性（MS04-003）があることを明らかにし、同問題に対処できるセキュリティ修正プログラムをリリースした。現在同社のセキュリティ情報公開サイトや“Windows Update”機能を利用して、修正プログラムを無償でダウンロードできる。

　MDACのインストールされたPCは、同一サブネット上のすべてのPCへ向けてブロードキャストリクエストを送信する仕様となっているが、そのリクエストに対して細工されたパケットで応答されると、リクエスト送信元のPCでバッファオーバーフローが発生し、リクエストを送信したレベルと同等のプログラム実行権限が不正に取得されてしまう可能性があるという。MDACはSQL Server 2000に同梱されているだけではなく、Windows 2000/XP/Server 2003に標準でインストールされているので注意が必要。

　このほかセキュリティ情報の1月版では、「Exchange Server 2003」と「Microsoft Internet Security and Acceleration Server 2000」のセキュリティ問題に対する修正プログラムも公開された。しかし、セキュリティ情報公開サイト“Secunia”で先月公表された、実際にIEで表示中のWebページとは異なるURLをアドレス欄に表示できてしまう、URL詐欺の問題に対処するセキュリティ修正プログラムは公開されなかった。そのため、同社サイトに掲載されている一時的な対処法を参考にするか、もしくはInternet Security Systemsが公開したIEプラグイン「domain spoofing filter」をインストールするなど、なんらかの自衛を行ったほうがよいだろう。

□2004 年 1 月現在のセキュリティ情報
http://www.microsoft.com/japan/security/secinfo.mspx
□MDAC 機能のバッファ オーバーランにより、コードが実行される (832483) (MS04-003)
http://www.microsoft.com/japan/technet/security/bulletin/ms04-003.asp
□成りすましたウェブサイトに騙されない方法について
http://www.microsoft.com/japan/security/incident/spoof.mspx
□Internet Security Systems K.K. : Microsoft Internet Explorer における URL スプーフィング脆弱点
http://www.isskk.co.jp/support/techinfo/general/MS_IE159.html
□窓の杜 - 【Release NEWS】マイクロソフト、セキュリティ修正プログラムの11月版をリリース
http://www.forest.impress.co.jp/article/2003/11/12/securityfixmonthly.html

（竹元 克己）