-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2009-0014 JPCERT/CC 2009-07-29 <<< JPCERT/CC Alert 2009-07-29 >>> Microsoft ATL を使用した複数製品の脆弱性に関する注意喚起 Vulnerabilities in Microsoft ATL affect Multiple Products https://www.jpcert.or.jp/at/2009/at090014.txt I. 概要 Microsoft 社から Active Template Library (ATL) の脆弱性の修正プログ ラムが公開されました。この脆弱性を使用された場合、結果として遠隔の第三 者によって任意のコードを実行される可能性があります。 ATL は Microsoft Visual Studio に含まれるライブラリで、Adobe Flash Player や Shockwave Player などで利用されている ActiveX コントロールの 開発にも利用されています。このため、Microsoft 社以外の製品を利用してい る場合も影響を受ける可能性があります。 MS09-035 Visual Studio の Active Template Library の脆弱性により、リモートでコードが実行される (969706) http://www.microsoft.com/japan/technet/security/bulletin/MS09-035.mspx なお JPCERT/CC では現時点でこの問題を利用した実際の攻撃を確認してい ません。 II. 影響を受けるソフトウェア - Microsoft Visual Studio .NET 2003 Service Pack 1 - Microsoft Visual Studio 2005 Service Pack 1 - Microsoft Visual Studio 2005 Service Pack 1 64-bit Hosted Visual C++ Tools - Microsoft Visual Studio 2008 - Microsoft Visual Studio 2008 Service Pack 1 - Microsoft Visual C++ 2005 Service Pack 1 再頒布可能パッケージ - Microsoft Visual C++ 2008 再頒布可能パッケージ - Microsoft Visual C++ 2008 Service Pack 1 再頒布可能パッケージ 上記の Visual Studio には脆弱性のある ATL が含まれています。また上記 の Visual Studio を使って開発されたアプリケーションが特定バージョンの ATLを使っていた場合、脆弱性の影響を受ける可能性があります。 なお VisualStudio 2002 の延長サポートは 2009年7月14日をもって終了し ています。 III. 対策 本脆弱性については、その影響が Microsoft 社以外の製品にも及ぶことを理 解した上で対策を行う必要があります。 開発者向け: 1. Visual Studio の修正プログラムをインストールする お使いの Visual Studio が影響を受ける場合、速やかに MS09-035 のセ キュリティ更新プログラムをインストールしてください。 2. 過去に作成したアプリケーションを確認する ActiveX プラグインなどの開発者は下記ページで開発したアプリケーショ ンが影響をうけるかどうかを確認してください。影響を受ける場合、 Visual Studio をアップグレード後に再度ビルドしてください。 ATL Security Update (英語サイト) http://msdn.microsoft.com/ja-jp/ee309358(en-us).aspx 全てのユーザ向け: 1. MS09-034 の修正プログラムをインストールする MS09-034 で提供されるセキュリティ更新プログラムは 3件の Internet Explorer に存在する脆弱性を修正するだけでなく、ATL の影響を受ける バージョンで開発された ActiveX コントロールの IE での既知の攻撃方 法による影響を緩和します。 2. Microsoft 社以外の製品の対応状況を確認する Adobe Flash/Shockwave Player や Cisco Unity など現在判明しているだ けでも複数のベンダーが近日中に ATL の問題を修正した製品をリリース する予定です。 ATL の脆弱性修正済みの製品がリリースされる予定: - Adobe Flash Player 2009/7/30 (米国時間) - Adobe Shockwave Player バージョン 11.5.1.601 で修正済み - Cisco Unity 4.x, 5.x, and 7. 未定 それら製品の修正プログラムの公開予定を確認し、リリースされたら速や かにインストールを行ってください。 IV. 参考情報 マイクロソフト セキュリティ アドバイザリ (973882) Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/973882.mspx MS09-034 Internet Explorer 用の累積的なセキュリティ更新プログラム (972260) http://www.microsoft.com/japan/technet/security/bulletin/MS09-034.mspx MS09-035 Visual Studio の Active Template Library の脆弱性により、リモートでコードが実行される (969706) http://www.microsoft.com/japan/technet/security/bulletin/MS09-035.mspx US-CERT Vulnerability Note VU#456745 ActiveX controls built with Microsoft ATL fail to properly handle initialization data http://www.kb.cert.org/vuls/id/456745 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ====================================================================== JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEVAwUBSnEDjTF9l6Rp7OBIAQjXPwf/ZS2xMZFRSlUSQwyaezD0EKJoH1vTCdlH 7NFlx2JO/3DXnRKCdU6uKl2Npujo9O7ugaIbVxU7T8Wg+oD9HeZ77VEFxbI5jHw0 e/xxIheT0BRfoacI2vpjYgW6ofCUa9jse4VNWD6mdh0Hp7zy9xfyP8hlK10UigXs ax4fW4H7YsWi4JTOhW/YhhHYPloeUZuhUSSH+/e3hc7GNH/NnLoCJzH/N1WS4x/g cUUtHAy9cCNvAv6DQX4t+1/nr2hyG11R6RsLzJNsheWQAYMmI1tShWWYJyE8n7Fq /my71GmZ31kiBADW8qR6Ecug3MdTUJY6h39EzbOVAMQs/O3hFi/RoA== =Io+K -----END PGP SIGNATURE-----