深刻度
|
→ |
1(緊急) |
|
2(重要) |
|
3(警告) |
|
4(注意) |
|
攻撃コードの有無
|
あり
|
対策
|
至急適用
|
再起動の必要性
|
不要(必要な場合あり)
|
アンインストール
|
可能
|
対象環境
|
|
セキュリティ情報
|
|
サポート技術情報
|
|
含まれる過去の修正
|
|
脆弱性識別番号
|
|
|
MS07-009/927779 |
MDACに含まれるADODB.Connection ActiveXコントロールの脆弱性により、リ モートで任意のコードが実行される危険性 |
(Microsoft Data Access Components の脆弱性により、リモートでコードが 実行される) |
対応の緊急性:至急適用 [攻撃コード公開あり][攻撃事例なし]
|
危険性 |
|
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。 |
可能性のある攻撃
攻撃手法
|
脆弱性の影響
|
リモート攻撃 |
ウイルス/ワーム |
電子メール添付 |
Webサイトへの誘導 |
コードの実行 |
権限の昇格 |
情報の漏えい |
サービス拒否 |
なりすまし |
|
|
○
|
○
|
○
|
|
|
|
|
|
|
|
|
MDACで配布されているADODB.Connection ActiveXコントロールに脆弱性が存在し、リモートで任意のコードが実行される危険性がある。ADODB.Connection
ActiveXコントロールは、ActiveXデータ・オブジェクト(ADO)の一部として提供されているものだ。
Webページや電子メールに記載された細工済みのWebページへのリンクをクリックすると、任意のコードが実行されてしまう。アドウェアやスパイウェアのインストールなどへの悪用が懸念される脆弱性である。
MS07-009の脆弱性はすでにInternet Explorer(IE)が異常終了する実証コードが公開されている(任意のコードが実行可能なものではない)。現時点では、攻撃例は確認されていないということだが、危険性が高まっている。至急、修正プログラムを適用した方がよい。
|
脆弱性の内容
|
MS07-009の脆弱性は、2006/11/01日付け配信のHotFix Weeklyで報告済みの「ActiveXコントロール「ADODB.Connection」にサービス拒否を引き起こす脆弱性」を解消するものだ。脆弱性が公開された時点では、サービス拒否を引き起こすものとされていたが、その後の調査によりコードの実行が可能であることが判明している。
・HotFix Weekly 2006/11/01日付け(ActiveXコントロール「ADODB.Connection」にサービス拒否を引き起こす脆弱性):
http://www.hotfix.jp/archives/alert/2006/news06-1101.html#01
ActiveXコントロール「ADODB.Connection」のExecute()関数にメモリ破損の脆弱性が存在する。ADODB.Connectionとは、データベースへの接続を確保する際に利用されるものだ。Internet
Explorer(IE)で、ADODB.Connection ActiveXコントロールのExecute()関数に対して不正な値が設定されたWebページを開くと、任意のコードが実行される危険性がある。
|
対象プラットフォーム
|
影響を受けるソフトウェア |
対象プラットフォーム |
MDAC 2.5 SP3 |
Windows 2000 SP4 |
MDAC 2.7 SP1 |
Windows 2000 SP4 |
MDAC 2.8 |
Windows 2000 SP4 |
MDAC 2.8 SP1 |
Windows 2000 SP4 |
MDAC 2.8 SP1 |
Windows XP SP2 |
MDAC 2.8 |
Windows Server 2003 SP未適用 |
|
|
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント
‥‥‥
|
■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows 2000 Professional SP4+MDAC 2.5 SP3 |
○
|
Windows 2000 Professional SP4+MDAC 2.8 SP1 |
○
|
Windows 2000 Server SP4+MDAC 2.5 SP3 |
○
|
Windows 2000 Server SP4+MDAC 2.8 |
○
|
Windows 2000 Advanced Server SP4+MDAC 2.7 SP1 |
○
|
Windows XP Professional SP2+MDAC 2.8 SP1 |
○
|
Windows Server 2003 Standard SP未適用+MDAC 2.8 |
○
|
Windows Server 2003 Enterprise SP未適用+MDAC 2.8 |
○
|
○は問題なし、△は一部に問題あり、×は適用による障害あり |
■MBSA 2.0の結果
MS07-009の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、インストールされているMDACのバージョンによって以下が表示される。
- Microsoft Data Access Components 2.5 Service Pack 3 用セキュリティ更新プログラム (KB927779)
- Microsoft Data Access Components 2.7 Service Pack 1 用セキュリティ更新プログラム (KB927779)
- Microsoft Data Access Components 2.8 用セキュリティ更新プログラム (KB927779)
- Microsoft Data Access Components 2.8 Service Pack 1 用セキュリティ更新プログラム (KB927779)
- Windows XP 用セキュリティ更新プログラム (KB927779)
- Windows Server 2003 用セキュリティ更新プログラム (KB927779)
|
適用時の注意点
|
■インストールされているMDACのバージョンを確認する方法
MDACは、Windows OSにデフォルトでインストールされているほか、サービスパックやアプリケーションなどに同梱されているため、Windows OSのデフォルトとは異なるバージョンがインストールされている可能性がある。MS07-009の修正プログラムを手動(自動更新やMicrosoft
Updateを利用しない)でインストールする場合、MDAC のバージョンにあわせて修正プログラムを選択する必要がある。つまり、システムにインストールされているMADCのバージョンを調べなければならない。
詳細は、「サポート技術情報:301202」を参照していただきたい。
・サポート技術情報 301202(MDAC のバージョンを確認する方法):
http://support.microsoft.com/default.aspx?scid=kb;ja;301202
最も簡単なのは、ダウンロード・センターからComponent Checker(cc_pkg.exe)をダウンロードし、調査対象のコンピュータにインストールして実行することだ。システムのチェック後にMADCのバージョンが表示されるはずだ。
・ダウンロード・センター(MDAC Utility: Component Checker):
http://www.microsoft.com/downloads/details.aspx?
FamilyId=8F0A8DF6-4A21-4B43-BF53-14332EF092C9&displaylang=en
#英語版のツールだが、日本語Windows OSでも利用可能
MS07-009の修正プログラムは、OSと上記の方法で表示されたMDACのバージョンに合わせたものを適用すればよい。例えば、Windows 2000
SP4で、Component Checkerの表示がMDAC 2.8 RTMならば、Windows 2000 SP4+MDAC 2.8向けの修正プログラムを適用する。以下に、各Windows
OSおよびMDACのバージョン、MS07-009の修正プログラムとの対応をまとめた。
MDACのバージョン |
適用すべきMS07-009の修正プログラム |
Windows 2000 SP4 |
MDAC 2.5 SP3 |
MDAC253-KB927779-x86-JPN.exe |
MDAC 2.7 SP1 |
MDAC271-KB927779-x86-JPN.exe |
MDAC 2.8 |
MDAC28-KB927779-x86-JPN.exe |
MDAC 2.8 SP1 |
MDAC281-KB927779-x86-JPN.exe |
Windows XP SP2* |
MDAC 2.8 SP1 |
WindowsXP-KB927779-x86-JPN.exe |
Windows Server 2003 SP未適用* |
MDAC 2.8 |
WindowsServer2003-KB927779-x86-JPN.exe |
*これらのOSとサービスパックの組み合わせでは、MDACのバージョンは一意に決まる。したがってMDACのバージョンを意識することなく表中の修正プログラムを適用することが可能だ。 |
■Windows 2000ではMDACのバージョンによって修正プログラムが適用できないことがある
Windows 2000 SP4で利用できるMDACのうちMDAC 2.6/2.6 SP1/2.6 SP2/2.7については、すでにサポートの対象外であるため、マイクロソフトはMS07-009の修正プログラムを提供していない。また、これらのバージョンがMS07-009の脆弱性の影響を受けるかどうかについても明らかにしていない。現時点のサポート対象となっているすべてのMDACに脆弱性が存在していることから、サポート対象外のMDACについても「脆弱性が存在する」と判断したほうがよい。MDACのバージョンがこれらに該当する場合は、MDACを利用する業務アプリケーションなどとの互換性を確認しつつ、速やかにMDAC
2.7 SP1/2.8 RTM/2.8 SP1のいずれかにアップグレードすべきだ(最新版であるMDAC 2.8 SP1にアップグレードすることが望ましい)。
■Windows 2000でMDACをアップグレードする方法
MDACはWindows Update/Microsoft Update/WSUSなどマイクロソフトの更新サービスではアップグレードできない。以下のダウンロード・センターのページからインストーラを入手して、各コンピュータで実行する必要がある。
・ダウンロード・センター(MDAC 2.7 SP1 Refresh):
http://www.microsoft.com/downloads/details.aspx?
FamilyID=9ad000f2-cae7-493d-b0f3-ae36c570ade8&DisplayLang=ja
・ダウンロード・センター(MDAC 2.8):
http://www.microsoft.com/downloads/details.aspx?
FamilyID=6c050fe3-c795-4b7d-b037-185d0506396c&DisplayLang=ja
・ダウンロード・センター(MDAC 2.8 SP1):
http://www.microsoft.com/downloads/details.aspx?
FamilyID=78cac895-efc2-4f8e-a9e0-3a1afbd5922e&DisplayLang=ja
インストールを完了させるためには、システムを再起動してから管理者権限で再ログオンする必要がある。
|
|
|
プラットフォーム |
ダウンロード・センター |
WU/MU/WSUSの表示 |
MDAC 2.5 SP3
(Windows 2000 SP4) |
|
Microsoft Data Access Components 2.5 Service Pack 3 用セキュリティ更新プログラム (KB911562) |
MDAC 2.7 SP1
(Windows 2000 SP4) |
|
Microsoft Data Access Components 2.7 Service Pack 1 用セキュリティ更新プログラム (KB911562) |
MDAC 2.8
(Windows 2000 SP4) |
|
Microsoft Data Access Components 2.8 用セキュリティ更新プログラム (KB911562) |
MDAC 2.8 SP1
(Windows 2000 SP4) |
|
Microsoft Data Access Components 2.8 Service Pack 1 用セキュリティ更新プログラム (KB911562) |
MDAC 2.8 SP1
(Windows XP SP2) |
|
Windows XP 用セキュリティ更新プログラム (KB911562) |
MDAC 2.8
(Windows Server 2003 SP未適用) |
|
Windows Server 2003 用セキュリティ更新プログラム (KB911562) |
|
|
|
以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
MDAC 2.5 SP3(Windows 2000 SP4):
ファイル名 |
日付 |
バージョン |
サイズ |
MDAC253-KB927779-x86-JPN.exe |
2007/01/11 |
2.53.6307.0 |
2,256,760
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%ProgramFiles%\Common Files\System\MSADC\ |
msadce.dll |
2007/01/10 |
2.53.6307.0 |
327,680
|
Microsoft Data Access - OLE DB Cursor Engine |
msadco.dll |
2006/11/29 |
2.53.6307.0 |
151,824
|
Microsoft Data Access - Remote Data Services Data Control |
msadcs.dll |
2006/11/29 |
2.53.6307.0 |
57,616
|
Microsoft Data Access - Remote Data Services ISAPI Library |
msdaprst.dll |
2007/01/10 |
2.53.6307.0 |
204,800
|
Microsoft Data Access - OLE DB Persistence Services |
|
%ProgramFiles%\Common Files\System\ADO\ |
msado15.dll |
2007/01/10 |
2.53.6307.0 |
487,424
|
Microsoft Data Access - ActiveX Data Objects |
msadomd.dll |
2007/01/10 |
2.53.6307.0 |
172,066
|
Microsoft Data Access - ActiveX Data Objects (Multi-Dimensional) |
msadox.dll |
2007/01/10 |
2.53.6307.0 |
188,449
|
Microsoft Data Access - ActiveX Data Objects Extensions |
msjro.dll |
2007/01/10 |
2.53.6307.0 |
94,240
|
Microsoft Jet and Replication Objects |
|
%ProgramFiles%\Common Files\System\OLE DB\ |
msdaps.dll |
2006/11/29 |
2.53.6307.0 |
192,784
|
Microsoft Data Access - OLE DB Interface Proxies/Stubs |
oledb32.dll |
2007/01/10 |
2.53.6307.0 |
483,328
|
Microsoft Data Access - OLE DB Core Services |
|
%SystemRoot%\system32\ |
odbc32.dll |
2007/01/10 |
3.520.6307.0 |
212,992
|
Microsoft Data Access - ODBC Driver Manager |
odbcbcp.dll |
2003/10/28 |
3.70.11.46 |
24,848
|
Microsoft BCP for ODBC |
odbccp32.dll |
2006/11/29 |
3.520.6307.0 |
102,672
|
Microsoft Data Access - ODBC Installer |
odbcji32.dll |
2006/12/01 |
4.0.6307.0 |
53,520
|
Microsoft ODBC Desktop Driver Pack 3.5 |
odbcjt32.dll |
2006/11/29 |
4.0.6307.0 |
278,800
|
Microsoft ODBC Desktop Driver Pack 3.5 |
oddbse32.dll |
2006/11/29 |
4.0.6307.0 |
20,752
|
ODBC (3.0) driver for DBase |
odexl32.dll |
2006/11/29 |
4.0.6307.0 |
20,752
|
ODBC (3.0) driver for Excel |
odfox32.dll |
2006/11/29 |
4.0.6307.0 |
20,752
|
ODBC (3.0) driver for FoxPro |
odpdx32.dll |
2006/11/29 |
4.0.6307.0 |
20,752
|
ODBC (3.0) driver for Paradox |
odtext32.dll |
2006/11/29 |
4.0.6307.0 |
20,752
|
ODBC (3.0) driver for text files |
sqlsrv32.dll |
2006/12/01 |
3.70.11.46 |
524,560
|
Microsoft SQL Server ODBC Driver |
MDAC 2.7 SP1(Windows 2000 SP4):
ファイル名 |
日付 |
バージョン |
サイズ |
MDAC271-KB927779-x86-JPN.exe |
2006/12/23 |
2.71.9054.0 |
2,828,040
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%ProgramFiles%\Common Files\System\MSADC\ |
msadce.dll |
2006/12/22 |
2.71.9054.0 |
307,200
|
Microsoft Data Access - OLE DB Cursor Engine |
msadcf.dll |
2006/12/22 |
2.71.9054.0 |
57,344
|
Microsoft Data Access - Remote Data Services Data Factory |
msadco.dll |
2006/12/22 |
2.71.9054.0 |
135,168
|
Microsoft Data Access - Remote Data Services Data Control |
msadcs.dll |
2006/12/22 |
2.71.9054.0 |
53,248
|
Microsoft Data Access - Remote Data Services ISAPI Library |
msadds.dll |
2006/12/22 |
2.71.9054.0 |
147,456
|
Microsoft Data Access - OLE DB Data Shape Provider |
msdaprst.dll |
2006/12/22 |
2.71.9054.0 |
180,224
|
Microsoft Data Access - OLE DB Persistence Services |
msdarem.dll |
2006/12/22 |
2.71.9054.0 |
110,592
|
Microsoft Data Access - OLE DB Remote Provider |
msdfmap.dll |
2006/12/22 |
2.71.9054.0 |
32,768
|
Microsoft Data Access - Data Factory Handler |
|
%ProgramFiles%\Common Files\System\ADO\ |
msado15.dll |
2006/12/22 |
2.71.9054.0 |
491,520
|
Microsoft Data Access - ActiveX Data Objects |
msadomd.dll |
2006/12/22 |
2.71.9054.0 |
159,744
|
Microsoft Data Access - ActiveX Data Objects (Multi-Dimensional) |
msadox.dll |
2006/12/22 |
2.71.9054.0 |
180,224
|
Microsoft Data Access - ActiveX Data Objects Extensions |
msadrh15.dll |
2006/12/22 |
2.71.9054.0 |
53,248
|
Microsoft Data Access - ActiveX Data Objects Rowset Helper |
msjro.dll |
2006/12/22 |
2.71.9054.0 |
90,112
|
Microsoft Jet and Replication Objects |
|
%ProgramFiles%\Common Files\System\OLE DB\ |
msdaora.dll |
2006/12/22 |
2.71.9054.0 |
221,184
|
Microsoft Data Access - OLE DB Provider for Oracle |
msdaps.dll |
2006/12/22 |
2.71.9054.0 |
188,416
|
Microsoft Data Access - OLE DB Interface Proxies/Stubs |
msdasql.dll |
2006/12/22 |
2.71.9054.0 |
303,104
|
Microsoft Data Access - OLE DB Provider for ODBC Drivers |
oledb32.dll |
2006/12/22 |
2.71.9054.0 |
413,696
|
Microsoft Data Access - OLE DB Core Services |
sqloledb.dll |
2006/12/22 |
2000.81.9054.0 |
471,040
|
Microsoft OLE DB Provider for SQL Server |
sqlxmlx.dll |
2006/12/22 |
2000.81.9054.0 |
200,704
|
Microsoft XML extensions for SQL Server |
|
%SystemRoot%\system32\ |
dbnetlib.dll |
2006/12/22 |
2000.81.9054.0 |
61,440
|
Winsock Oriented Net DLL for SQL Clients |
msdart.dll |
2006/12/22 |
2.71.9054.0 |
126,976
|
Microsoft Data Access - OLE DB Runtime Routines |
msorcl32.dll |
2006/12/22 |
2.573.9054.0 |
131,072
|
Microsoft Data Access - ODBC Driver for Oracle |
odbc32.dll |
2006/12/22 |
3.520.9054.0 |
204,800
|
Microsoft Data Access - ODBC Driver Manager |
odbcbcp.dll |
2006/12/22 |
2000.81.9054.0 |
24,576
|
Microsoft BCP for ODBC |
odbccp32.dll |
2006/12/22 |
3.520.9054.0 |
98,304
|
Microsoft Data Access - ODBC Installer |
odbccr32.dll |
2006/12/22 |
3.520.9054.0 |
61,440
|
Microsoft Data Access - ODBC Cursor Library |
odbccu32.dll |
2006/12/22 |
3.520.9054.0 |
61,440
|
Microsoft Data Access - ODBC Cursor Library |
sqlsrv32.dll |
2006/12/22 |
2000.81.9054.0 |
385,024
|
Microsoft SQL Server ODBC Driver |
MDAC 2.8(Windows 2000 SP4):
ファイル名 |
日付 |
バージョン |
サイズ |
MDAC28-KB927779-x86-JPN.exe |
2006/12/23 |
2.80.1064.0 |
2,713,344
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%ProgramFiles%\Common Files\System\MSADC\ |
msadce.dll |
2006/12/22 |
2.80.1064.0 |
315,392
|
Microsoft Data Access - OLE DB Cursor Engine |
msadco.dll |
2006/12/22 |
2.80.1064.0 |
135,168
|
Microsoft Data Access - Remote Data Services Data Control |
msadcs.dll |
2006/12/22 |
2.80.1064.0 |
49,152
|
Microsoft Data Access - Remote Data Services ISAPI Library |
msadds.dll |
2006/12/22 |
2.80.1064.0 |
147,456
|
Microsoft Data Access - OLE DB Data Shape Provider |
msdaprst.dll |
2006/12/22 |
2.80.1064.0 |
192,512
|
Microsoft Data Access - OLE DB Persistence Services |
|
%ProgramFiles%\Common Files\System\ADO\ |
msado15.dll |
2006/12/22 |
2.80.1064.0 |
507,904
|
Microsoft Data Access - ActiveX Data Objects |
msadomd.dll |
2006/12/22 |
2.80.1064.0 |
163,840
|
Microsoft Data Access - ActiveX Data Objects (Multi-Dimensional) |
msadox.dll |
2006/12/22 |
2.80.1064.0 |
184,320
|
Microsoft Data Access - ActiveX Data Objects Extensions |
msadrh15.dll |
2006/12/22 |
2.80.1064.0 |
53,248
|
Microsoft Data Access - ActiveX Data Objects Rowset Helper |
msjro.dll |
2006/12/22 |
2.80.1064.0 |
90,112
|
Microsoft Jet and Replication Objects |
|
%ProgramFiles%\Common Files\System\OLE DB\ |
msdaora.dll |
2006/12/22 |
2.80.1064.0 |
225,280
|
Microsoft Data Access - OLE DB Provider for Oracle |
msdasql.dll |
2006/12/22 |
2.80.1064.0 |
303,104
|
Microsoft Data Access - OLE DB Provider for ODBC Drivers |
oledb32.dll |
2006/12/22 |
2.80.1064.0 |
442,368
|
Microsoft Data Access - OLE DB Core Services |
sqloledb.dll |
2006/12/22 |
2000.85.1064.0 |
503,808
|
Microsoft OLE DB Provider for SQL Server |
sqlxmlx.dll |
2006/12/22 |
2000.85.1064.0 |
208,896
|
Microsoft XML extensions for SQL Server |
|
%SystemRoot%\system32\ |
dbnetlib.dll |
2006/12/22 |
2000.85.1064.0 |
73,728
|
Winsock Oriented Net DLL for SQL Clients |
dbnmpntw.dll |
2006/12/22 |
2000.85.1064.0 |
28,672
|
Named Pipes Net DLL for SQL Clients |
msdart.dll |
2006/12/22 |
2.80.1064.0 |
147,456
|
Microsoft Data Access - OLE DB Runtime Routines |
msorcl32.dll |
2006/12/22 |
2.575.1064.0 |
139,264
|
Microsoft Data Access - ODBC Driver for Oracle |
odbc32.dll |
2006/12/22 |
3.525.1064.0 |
221,184
|
Microsoft Data Access - ODBC Driver Manager |
odbcbcp.dll |
2006/12/22 |
2000.85.1064.0 |
24,576
|
Microsoft BCP for ODBC |
sqlsrv32.dll |
2006/12/22 |
2000.85.1064.0 |
401,408
|
Microsoft SQL Server ODBC Driver |
MDAC 2.8 SP1(Windows 2000 SP4):
ファイル名 |
日付 |
バージョン |
サイズ |
MDAC281-KB927779-x86-JPN.exe |
2007/01/06 |
2.81.1128.0 |
1,872,680
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%ProgramFiles%\Common Files\System\MSADC\ |
msadco.dll |
2007/01/05 |
2.81.1128.0 |
143,360
|
Microsoft Data Access - Remote Data Services Data Control |
|
%ProgramFiles%\Common Files\System\ADO\ |
msado15.dll |
2007/01/05 |
2.81.1128.0 |
524,288
|
Microsoft Data Access - ActiveX Data Objects |
msadomd.dll |
2007/01/05 |
2.81.1128.0 |
180,224
|
Microsoft Data Access - ActiveX Data Objects (Multi-Dimensional) |
msadox.dll |
2007/01/05 |
2.81.1128.0 |
200,704
|
Microsoft Data Access - ActiveX Data Objects Extensions |
msjro.dll |
2007/01/05 |
2.81.1128.0 |
102,400
|
Microsoft Jet and Replication Objects |
|
%ProgramFiles%\Common Files\System\OLE DB\ |
msdasql.dll |
2007/01/05 |
2.81.1128.0 |
307,200
|
Microsoft Data Access - OLE DB Provider for ODBC Drivers |
sqloledb.dll |
2007/01/05 |
2000.85.1128.0 |
520,192
|
Microsoft OLE DB Provider for SQL Server |
|
%SystemRoot%\system32\ |
odbcbcp.dll |
2007/01/05 |
2000.85.1128.0 |
24,576
|
Microsoft BCP for ODBC |
sqlsrv32.dll |
2007/01/05 |
2000.85.1128.0 |
438,272
|
Microsoft SQL Server ODBC Driver |
MDAC 2.8 SP1(Windows XP SP2):
ファイル名 |
日付 |
バージョン |
サイズ |
WindowsXP-KB927779-x86-JPN.exe |
2006/12/26 |
1.0.0.0 |
789,304
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(SP2GDR/SP2QFE) |
%ProgramFiles%\Common Files\System\ADO\ |
msado15.dll |
2006/12/26 |
2.81.1128.0 |
536,576
|
Microsoft Data Access - ActiveX Data Objects |
msadomd.dll |
2006/12/26 |
2.81.1128.0 |
180,224
|
Microsoft Data Access - ActiveX Data Objects (Multi-Dimensional) |
msadox.dll |
2006/12/26 |
2.81.1128.0 |
200,704
|
Microsoft Data Access - ActiveX Data Objects Extensions |
msjro.dll |
2006/12/26 |
2.81.1128.0 |
102,400
|
Microsoft Jet and Replication Objects |
MDAC 2.8(Windows Server 2003 SP未適用):
ファイル名 |
日付 |
バージョン |
サイズ |
WindowsServer2003-KB927779-x86-JPN.exe |
2006/12/26 |
1.0.0.0 |
790,840
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(RTMGDR/RTMQFE) |
%ProgramFiles%\Common Files\System\ADO\ |
msado15.dll |
2006/12/19 |
2.80.1064.0 |
520,192
|
Microsoft Data Access - ActiveX Data Objects |
msadomd.dll |
2006/12/19 |
2.80.1064.0 |
163,840
|
Microsoft Data Access - ActiveX Data Objects (Multi-Dimensional) |
msadox.dll |
2006/12/19 |
2.80.1064.0 |
184,320
|
Microsoft Data Access - ActiveX Data Objects Extensions |
msjro.dll |
2006/12/19 |
2.80.1064.0 |
90,112
|
Microsoft Jet and Replication Objects |
|
|
|
修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。
・MDAC 2.5 SP3(Windows 2000 SP4):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\DataAccess\MDAC25\SP3\KB927779\Filelist以下のファイル一覧を確認する
・MDAC 2.7 SP1(Windows 2000 SP4):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\DataAccess\MDAC27\SP1\KB927779\Filelist以下のファイル一覧を確認する
・MDAC 2.8(Windows 2000 SP4):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\DataAccess\MDAC28\SP0\KB927779\Filelist以下のファイル一覧を確認する
・MDAC 2.8 SP1(Windows 2000 SP4):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\DataAccess\MDAC28\SP1\KB927779\Filelist以下のファイル一覧を確認する
・MDAC 2.8 SP1(Windows XP SP2):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB927779\Filelist以下のファイル一覧を確認する
・MDAC 2.8(Windows Server 2003 SP未適用):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB927779\Filelist以下のファイル一覧を確認する
|
|
|
何らかの理由で直ちに修正プログラムを適用できない場合には、以下に示す方法で回避が可能だ。ただしこの回避策は、脆弱性を根本的に解決するものではない。
■ADODB.Connection ActiveXコントロールにkillbitを設定する
ADODB.Connection ActiveXコントロールに割り当てられたCLSIDに対してkillbitを設定することで脆弱性の回避が可能だ。killbitを設定する方法は、「セキュリティTIPS:Internet
ExplorerでActiveXコントロールの実行を個別に禁止する方法」を参照してほしい。ただし、この回避策を実行すると、ADODB.Connection
ActiveXコントロールを使用するWebサイトが、正しく表示/機能しなくなるので注意が必要だ。
ActiveXコントロール |
CLSID |
ADODB.Connection |
BD96C556-65A3-11D0-983A-00C04FC29E36 |
・セキュリティTIPS(Internet ExplorerでActiveXコントロールの実行を個別に禁止する方法):
http://www.hotfix.jp/archives/tips/2005/tips05-04.html
|
予想適用時間
|
修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
MDAC253-KB927779-x86-JPN.exe
(Windows 2000 SP4+MDAC 2.5 SP3) |
13分 |
21分 |
47分 |
1時間30分 |
MDAC271-KB927779-x86-JPN.exe
(Windows 2000 SP4+MDAC 2.7 SP1) |
13分 |
21分 |
48分 |
1時間31分 |
MDAC28-KB927779-x86-JPN.exe
(Windows 2000 SP4+MDAC 2.8) |
13分 |
21分 |
47分 |
1時間31分 |
MDAC281-KB927779-x86-JPN.exe
(Windows 2000 SP4+MDAC 2.8 SP1) |
13分 |
21分 |
48分 |
1時間30分 |
WindowsXP-KB927779-x86-JPN.exe
(Windows XP SP2+MDAC 2.8 SP1) |
12分 |
21分 |
46分 |
1時間28分 |
WindowsServer2003-KB927779-x86-JPN.exe
(Windows Server 2003 SP未適用+MDAC 2.8 |
12分 |
21分 |
46分 |
1時間28分 |
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
|
UpdateEXPERT上の表示
|
・Windows 2000 SP4+MDAC 2.5 SP3:
[展開ビュー]−[MDAC]タブに「名前:MDAC253-KB927779-x86-JPN.exe」で登録
・Windows 2000 SP4+MDAC 2.7 SP1:
[展開ビュー]−[MDAC]タブに「名前:MDAC271-KB927779-x86-JPN.exe」で登録
・Windows 2000 SP4+MDAC 2.8:
[展開ビュー]−[MDAC]タブに「名前:MDAC28-KB927779-x86-JPN.exe」で登録
・Windows 2000 SP4+MDAC 2.8 SP1:
[展開ビュー]−[MDAC]タブに「名前:MDAC281-KB927779-x86-JPN.exe」で登録
・Windows XP SP2+MDAC 2.8 SP1:
[展開ビュー]−[MDAC]タブに「名前:WindowsXP-KB927779-x86-JPN.exe」で登録
・Windows Server 2003 SP未適用+MDAC 2.8:
[展開ビュー]−[MDAC]タブに「名前:WindowsServer2003-KB927779-x86-JPN.exe」で登録
|
|
|