Skip to main content
MSRC

2009年7月29日のセキュリティ情報 (定例外)

Japan Security Team
/ By Japan Security Team / / 7 min read

小野寺です

2009 年 7 月 24 日に事前通知でお伝えした通り、定例外で、セキュリティ情報 計 2 件 (緊急 1 件, 警告 1 件)を公開しました。
また、今回の2つのセキュリティ情報について説明するセキュリティ アドバイザリも 1 件合わせて公開しています。

**セキュリティ情報 (新規):
**概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。 7 月の月例リリース分と今回分をまとめて一つにしています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx

MS09-034 (Internet Explorer):
特別な細工が施された Web サイトやメール上のコンテンツを参照することで、リモートでコードが実行される可能性があります。
今回対応した 3 つの脆弱性は、どれも悪用・公開はこの Blog を書いている時点では確認されていません。 そのため、これら3つの脆弱性が、定例外のリリースの理由ではありません。 とはいえ、深刻度が緊急の脆弱性ですから、早急な適用をお勧めします。
今回定例外のリリースを、行ったのはこの更新プログラムに、将来的な安全性をより高めるために、新しい多層防御機能を追加している事に関連しています。 詳しくはもう一つのセキュリティ情報 MS09-035 とセットで説明する必要があるため、後述します。

MS09-035 (Visual Studio/ATL):
脆弱な ATL (Active Template Library)を使って開発された ActiveX コントロールを通じて、ActiveX コントロール関連の本来のセキュリティ機能が迂回される可能性があります。結果として、コードの実行等につながる可能性があります。
さて、ATL 等を使った事がある方は、お気づきかもしれませんが、この脆弱性は、Visual Studio が攻撃の対象となるわけではありません。 Visual Studio に付属する ATL を使用して、開発された ActiveX コントロールなどのコンポーネントやコントロールが影響を受けます。 その際の現実的な攻撃経路 (Attacking vector といいます)として、特別な細工が施された Web サイトから、影響を受ける ActiveX コントロールが呼び出される場合です。 この辺の関連は、MS09-034 とセットで必要があるため、後述します。
MS09-035 は、今後、脆弱性の影響を受けないコントロールやコンポーネントを開発できるように、ATL を更新して ATL 内の脆弱性に対処しています。そのため、影響を受ける可能性のあるコンポーネント開発者は、MS09-035 の更新プログラム適用後に、該当コンポーネントを、リビルドする必要があります。

セキュリティ アドバイザリ (新規): セキュリティ アドバイザリ (973882): Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される
MS09-034 および MS09-035 に関連します。 マイクロソフトの開発環境である Visual Studio には、ATL (Active Template Library)と呼ばれる C++のクラスライブラリが付属しています。この ATL のコードが原因となって、このライブラリを基に開発されたコンポーネントが脆弱な状態になる場合があります。
この ATL 自体の脆弱性に対処したのが、MS09-035 です。主に開発者向けの更新プログラムです。 開発者の方は MS09-035 を適用したのちに、コンポーネントをリビルドすることで、この脆弱性を開発したコンポーネントから排除することができます。 この脆弱性の影響を受けるかを開発者が判断する方法は、MSDN サイト (http://msdn.microsoft.com/ja-jp/ee309358.aspx) をご覧ください。

この脆弱性は、脆弱な ATL によって開発されたコントロールやコンポーネントでも発生し、攻撃の経路としては、Web を参照することによる影響を受ける ActiveX を悪用した攻撃が考えられます。MS09-034 は、ATL に関するもの以外の Internet Explorer の脆弱性に対処していますが、それと同時に、この ATL 脆弱性の影響を受ける ActiveX が Internet Explorer を通じて悪用される事を防ぐための多層防御機能を新たに追加しています。
この多層防御機能は、ActiveX の動作を監視し、今回の脆弱性が悪用される事を阻止します。 そのため、多くのユーザーは、Internet Explorer のセキュリティ更新プログラム MS09-034 を適用する事で、ATL の脆弱性が Web 参照時に悪用される事を防ぐ事ができます。

Next Post

Related Posts

How satisfied are you with the MSRC Blog?

Rating

Feedback * (required)

Your detailed feedback helps us improve your experience. Please enter between 10 and 2,000 characters.

Thank you for your feedback!

We'll review your input and work on improving the site.