MSが臨時パッチをリリース、Visual StudioとIEの脆弱性を修正:開発者に対処を呼び掛け
Active Template Library(ATL)の脆弱性は、これを使って開発されたコンポーネントやコントロールに影響する。IE内部でこの問題を突いた攻撃を仕掛けられる恐れがあることも判明した。
米Microsoftは7月28日(日本時間29日)、予告通りに定例外のセキュリティ更新プログラムを公開した。開発ツールに組み込まれているActive Template Library(ATL)の脆弱性に対処するのが目的で、既にこの問題を突いた攻撃が発生していることから、次回の定例アップデート(8月11日)まで待っているとユーザーのリスクが高まると判断し、臨時パッチの公開に踏み切った。
脆弱性のあるATLは、開発ツールのVisual Studioに含まれており、この脆弱性に対処したのが「MS09-035」の更新プログラム。ATLはソフトウェア開発用の部品として、さまざまなコンポーネントやコントロールに使われているライブラリであり、ユーザーを守るためには業界全体で対処することが必要だとMicrosoftは強調している。
更新プログラム配布の対象となる製品はVisual Studio .NET 2003、Visual Studio 2005/2008、Visual C++ 2005/2008の再頒布可能パッケージ。深刻度は4段階で下から2番目の「警告」レベルだが、脆弱性のあるATLを使って作成されたコンポーネント/コントロールをユーザーが読み込むと、リモートでコードを実行される恐れがある。
Microsoftは開発者向けのリソースページを併せて公開し、自分が開発したコントロールやコンポーネントでこのATLの脆弱性を悪用される恐れがあるかどうか、直ちにチェックしてほしいと呼び掛けている。脆弱性の影響を受ける場合は更新プログラムをインストールした上で、Microsoftのガイダンスに従って脆弱性の影響を受けないコンポーネント/コントロールを作成し、ユーザー向けに配布する必要がある。
Internet Explorer(IE)向けの累積的な更新プログラム「MS09-034」も、ATLの脆弱性との関連でリリースされた。IE自体にはATLに起因する脆弱性は存在しないものの、脆弱性のあるバージョンのATLを使って開発されたコンポーネント/コントロールをIE内部で攻撃する方法があることが判明したため、この攻撃に対抗できるよう、IEに多層防御を施したとしている。
また、これとは別に、IEに存在する3件の脆弱性にも対処した。こちらはいずれも非公開で報告されたもので、この問題を悪用した攻撃などは確認されていないという。脆弱性はIE 8までの全バージョンに存在し、深刻度は最も高い「緊急」レベルとなっている。
関連記事
- MS、29日に臨時パッチを緊急リリース
臨時パッチではVisual StudioとInternet Explorer(IE)の脆弱性に対処予定。定例外でリリースする理由は明らかにしていない。 - MSが未解決の脆弱性を突く攻撃が拡大、中国から世界に飛び火
中国で多数のユーザーが脆弱性を突くトロイの木馬に感染し、欧州などにも飛び火している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.