Microsoft の『SQL Server』に新たな未対応の脆弱性

12月は、Microsoft のセキュリティにとってよくない月になりそうだ。

Microsoft は22日遅く、同社の『SQL Server』データベース アプリケーションに新たな未対応の脆弱性が見つかったとして、セキュリティ情報を公開した。同社が未対応の脆弱性について警告を出すのは今月に入って2度目だ。

この脆弱性の影響を受けるサーバーでは、リモートでコードが実行され、ユーザーを危険にさらす恐れがあるという。ただし、この脆弱性を突くのは容易ではない。攻撃者があらかじめホストシステムにアクセスできる状態でなければならないからだ。

「この脆弱性をうまく利用するには、攻撃者がローカルまたはリモートでシステムのユーザー認証を受けていなければならない。しかし、攻撃者があらかじめ SQL インジェクションを利用して Web サーバーを操作していれば、認証を得ていなくても、この脆弱性を悪用することが可能だ」と、Microsoft のセキュリティ レスポンス広報マネージャ Bill Sisk 氏は関連 Blog で述べている。

ただし、Microsoft が現在サポートする SQL Server の全バージョンがこの脆弱性の影響を受けるわけではない。同社によると、影響を受けるのは『Microsoft SQL Server 2000』『Microsoft SQL Server 2005』『Microsoft SQL Server 2005 Express Edition』『Microsoft SQL Server 2000 Desktop Engine (MSDE 2000)』『Microsoft SQL Server 2000 Desktop Engine (WMSDE)』『Windows Internal Database (WYukon)』の各エディションだという。新しい『Microsoft SQL Server 2008』と『Microsoft SQL Server 7.0 Service Pack 4』は影響を受けない。

Microsoft のセキュリティ情報によると、同社はこの脆弱性の実証コードがすでにインターネット上に公開されたことを確認しているが、実際にこのコードを使った攻撃は今のところ見つかっていないという。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール