ATLとWebコンポーネントの脆弱性は早急な対処を：8月のMSパッチが公開、緊急5件を含む計9件

　米Microsoftは8月11日（日本時間12日）、9件の月例セキュリティ情報を公開した。このうち、深刻度が最も高い「緊急」レベルの更新プログラムは5件。Microsoft ATL（Active Template Library）の脆弱性や、Office Webコンポーネントの脆弱性は既に攻撃コードが出回っており、早期の対応が求められる。

　ATLの脆弱性を解決した「MS09-037」は、7月に臨時公開された「MS09-034」および「MS09-035」に関連するパッチとなる。「MS09-035」は開発ツール「Visual Studio」に付属するパブリックバージョンのATLの脆弱性を解決し、「MS09-034」ではその脆弱性がIEを通じてWebベースで悪用されるのを防ぐ措置を取った。

　これに対して今回の「MS09-037」では、Windowsコンポーネントに存在するプライベートバージョンのATLの脆弱性を解決している。この更新を適用することにより、脆弱性のあるATLヘッダとライブラリに起因する既知の問題はすべて解決されたことになるとしている。

　脆弱性はOutlook Express、Windows Media Playerなどに存在し、OSはWindows 2000 SP4、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008が影響を受ける。一方、Windows 7とWindows Server 2008 R2は影響を受けないという。

　さらに、Microsoftが早期の適用を強く促しているもう1つの更新プログラムが「MS09-043」だ。7月のアドバイザリーで情報を公開していたOffice Webコンポーネントの脆弱性に対処したもので、既にこの問題を突いた悪用コードが出回り、被害報告も寄せられているという。影響を受けるのはOffice、Visual Studio、ISA Server、BizTalk Server。

　残る「緊急」レベルの更新プログラム3件は、「MS09-044」がリモートデスクトップ接続の脆弱性、「MS09-039」がWindowsインターネットネームサービス（WINS）の脆弱性、「MS09-038」がWindows Mediaファイル処理に関する脆弱性にそれぞれ対処した。

　また、深刻度が1段低い「重要」レベルの更新プログラム4件の内訳は、Windows関連が3件とWindows／.NET Framework関連が1件。特権の昇格やサービス拒否、リモートでのコード実行につながる脆弱性に対処している。

過去のセキュリティニュース一覧はこちら