2009年7月29日のセキュリティ情報 (定例外)


小野寺です


2009年7月24日に事前通知でお伝えした通り、定例外で、セキュリティ情報 計2件 (緊急 1件, 警告 1件)を公開しました。
また、今回の2つのセキュリティ情報について説明するセキュリティ アドバイザリも1件合わせて公開しています。


セキュリティ情報 (新規):
概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。 7月の月例リリース分と今回分をまとめて一つにしています。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx


MS09-034 (Internet Explorer):
特別な細工が施されたWebサイトやメール上のコンテンツを参照することで、リモートでコードが実行される可能性があります。
今回対応した3つの脆弱性は、どれも悪用・公開はこのBlogを書いている時点では確認されていません。 そのため、これら3つの脆弱性が、定例外のリリースの理由ではありません。 とはいえ、深刻度が緊急の脆弱性ですから、早急な適用をお勧めします。
今回定例外のリリースを、行ったのはこの更新プログラムに、将来的な安全性をより高めるために、新しい多層防御機能を追加している事に関連しています。 詳しくはもう一つのセキュリティ情報MS09-035とセットで説明する必要があるため、後述します。


MS09-035 (Visual Studio/ATL):
脆弱なATL (Active Template Library)を使って開発されたActiveXコントロールを通じて、ActiveXコントロール関連の本来のセキュリティ機能が迂回される可能性があります。結果として、コードの実行等につながる可能性があります。
さて、ATL等を使った事がある方は、お気づきかもしれませんが、この脆弱性は、Visual Studioが攻撃の対象となるわけではありません。 Visual Studioに付属するATLを使用して、開発されたActiveXコントロールなどのコンポーネントやコントロールが影響を受けます。 その際の現実的な攻撃経路 (Attacking vectorといいます)として、特別な細工が施されたWebサイトから、影響を受けるActiveXコントロールが呼び出される場合です。 この辺の関連は、MS09-034とセットで必要があるため、後述します。
MS09-035は、今後、脆弱性の影響を受けないコントロールやコンポーネントを開発できるように、ATLを更新してATL内の脆弱性に対処しています。そのため、影響を受ける可能性のあるコンポーネント開発者は、MS09-035の更新プログラム適用後に、該当コンポーネントを、リビルドする必要があります。


セキュリティ アドバイザリ (新規): 
セキュリティ アドバイザリ (973882): Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される
MS09-034 および MS09-035に関連します。 マイクロソフトの開発環境である Visual Studioには、ATL (Active Template Library)と呼ばれるC++のクラスライブラリが付属しています。このATLのコードが原因となって、このライブラリを基に開発されたコンポーネントが脆弱な状態になる場合があります。
このATL自体の脆弱性に対処したのが、MS09-035です。主に開発者向けの更新プログラムです。 開発者の方はMS09-035を適用したのちに、コンポーネントをリビルドすることで、この脆弱性を開発したコンポーネントから排除することができます。 この脆弱性の影響を受けるかを開発者が判断する方法は、MSDNサイト (http://msdn.microsoft.com/ja-jp/ee309358.aspx) をご覧ください。


この脆弱性は、脆弱なATLによって開発されたコントロールやコンポーネントでも発生し、攻撃の経路としては、Webを参照することによる影響を受けるActiveXを悪用した攻撃が考えられます。MS09-034は、ATLに関するもの以外のInternet Explorerの脆弱性に対処していますが、それと同時に、このATL脆弱性の影響を受けるActiveXがInternet Explorerを通じて悪用される事を防ぐための多層防御機能を新たに追加しています。
この多層防御機能は、ActiveXの動作を監視し、今回の脆弱性が悪用される事を阻止します。 そのため、多くのユーザーは、Internet Explorerのセキュリティ更新プログラム MS09-034 を適用する事で、ATLの脆弱性がWeb参照時に悪用される事を防ぐ事ができます。

Skip to main content