　米Microsoftは7月28日（日本時間29日）、予告通りに定例外のセキュリティ更新プログラムを公開した。開発ツールに組み込まれているActive Template Library（ATL）の脆弱性に対処するのが目的で、既にこの問題を突いた攻撃が発生していることから、次回の定例アップデート（8月11日）まで待っているとユーザーのリスクが高まると判断し、臨時パッチの公開に踏み切った。

　脆弱性のあるATLは、開発ツールのVisual Studioに含まれており、この脆弱性に対処したのが「MS09-035」の更新プログラム。ATLはソフトウェア開発用の部品として、さまざまなコンポーネントやコントロールに使われているライブラリであり、ユーザーを守るためには業界全体で対処することが必要だとMicrosoftは強調している。

　更新プログラム配布の対象となる製品はVisual Studio .NET 2003、Visual Studio 2005／2008、Visual C++ 2005／2008の再頒布可能パッケージ。深刻度は4段階で下から2番目の「警告」レベルだが、脆弱性のあるATLを使って作成されたコンポーネント／コントロールをユーザーが読み込むと、リモートでコードを実行される恐れがある。

　Microsoftは開発者向けのリソースページを併せて公開し、自分が開発したコントロールやコンポーネントでこのATLの脆弱性を悪用される恐れがあるかどうか、直ちにチェックしてほしいと呼び掛けている。脆弱性の影響を受ける場合は更新プログラムをインストールした上で、Microsoftのガイダンスに従って脆弱性の影響を受けないコンポーネント／コントロールを作成し、ユーザー向けに配布する必要がある。

　Internet Explorer（IE）向けの累積的な更新プログラム「MS09-034」も、ATLの脆弱性との関連でリリースされた。IE自体にはATLに起因する脆弱性は存在しないものの、脆弱性のあるバージョンのATLを使って開発されたコンポーネント／コントロールをIE内部で攻撃する方法があることが判明したため、この攻撃に対抗できるよう、IEに多層防御を施したとしている。

　また、これとは別に、IEに存在する3件の脆弱性にも対処した。こちらはいずれも非公開で報告されたもので、この問題を悪用した攻撃などは確認されていないという。脆弱性はIE 8までの全バージョンに存在し、深刻度は最も高い「緊急」レベルとなっている。

過去のセキュリティニュース一覧はこちら