各位
Microsoft ATL を使用した複数製品の脆弱性に関する注意喚起
Vulnerabilities in Microsoft ATL affect Multiple Products
https://www.jpcert.or.jp/at/2009/at090014.txt
I. 概要
Microsoft 社から Active Template Library (ATL) の脆弱性の修正プログラムが公開されました。この脆弱性を使用された場合、結果として遠隔の第三者によって任意のコードを実行される可能性があります。
ATL は Microsoft Visual Studio に含まれるライブラリで、Adobe FlashPlayer や Shockwave Player などで利用されている ActiveX コントロールの開発にも利用されています。このため、Microsoft 社以外の製品を利用している場合も影響を受ける可能性があります。
MS09-035
Visual Studio の Active Template Library の脆弱性により、リモートでコードが実行される (969706)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-035.mspx
なお JPCERT/CC では現時点でこの問題を利用した実際の攻撃を確認していません。
II. 影響を受けるソフトウェア
- Microsoft Visual Studio .NET 2003 Service Pack 1
- Microsoft Visual Studio 2005 Service Pack 1
- Microsoft Visual Studio 2005 Service Pack 1 64-bit Hosted Visual C++ Tools
- Microsoft Visual Studio 2008
- Microsoft Visual Studio 2008 Service Pack 1
- Microsoft Visual C++ 2005 Service Pack 1 再頒布可能パッケージ
- Microsoft Visual C++ 2008 再頒布可能パッケージ
- Microsoft Visual C++ 2008 Service Pack 1 再頒布可能パッケージ
上記の Visual Studio には脆弱性のある ATL が含まれています。また上記の Visual Studio を使って開発されたアプリケーションが特定バージョンのATLを使っていた場合、脆弱性の影響を受ける可能性があります。
なお VisualStudio 2002 の延長サポートは 2009年7月14日をもって終了しています。
III. 対策
本脆弱性については、その影響が Microsoft 社以外の製品にも及ぶことを理解した上で対策を行う必要があります。
開発者向け:
1. Visual Studio の修正プログラムをインストールする
お使いの Visual Studio が影響を受ける場合、速やかに MS09-035 のセ
キュリティ更新プログラムをインストールしてください。
2. 過去に作成したアプリケーションを確認する
ActiveX プラグインなどの開発者は下記ページで開発したアプリケーショ
ンが影響をうけるかどうかを確認してください。影響を受ける場合、
Visual Studio をアップグレード後に再度ビルドしてください。
ATL Security Update (英語サイト)
http://msdn.microsoft.com/ja-jp/ee309358(en-us).aspx
全てのユーザ向け:
1. MS09-034 の修正プログラムをインストールする
MS09-034 で提供されるセキュリティ更新プログラムは 3件の Internet
Explorer に存在する脆弱性を修正するだけでなく、ATL の影響を受ける
バージョンで開発された ActiveX コントロールの IE での既知の攻撃方
法による影響を緩和します。
2. Microsoft 社以外の製品の対応状況を確認する
Adobe Flash/Shockwave Player や Cisco Unity など現在判明しているだ
けでも複数のベンダーが近日中に ATL の問題を修正した製品をリリース
する予定です。
ATL の脆弱性修正済みの製品がリリースされる予定:
- Adobe Flash Player 2009/7/30 (米国時間)
- Adobe Shockwave Player バージョン 11.5.1.601 で修正済み
- Cisco Unity 4.x, 5.x, and 7. 未定
それら製品の修正プログラムの公開予定を確認し、リリースされたら速や
かにインストールを行ってください。
IV. 参考情報
マイクロソフト セキュリティ アドバイザリ (973882)
Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/973882.mspx
MS09-034
Internet Explorer 用の累積的なセキュリティ更新プログラム (972260)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-034.mspx
MS09-035
Visual Studio の Active Template Library の脆弱性により、リモートでコードが実行される (969706)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-035.mspx
US-CERT Vulnerability Note VU#456745
ActiveX controls built with Microsoft ATL fail to properly handle initialization data
http://www.kb.cert.org/vuls/id/456745
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2009-0014
JPCERT/CC
2009-07-29
JPCERT/CC Alert 2009-07-29
Microsoft ATL を使用した複数製品の脆弱性に関する注意喚起
Vulnerabilities in Microsoft ATL affect Multiple Products
https://www.jpcert.or.jp/at/2009/at090014.txt
I. 概要
Microsoft 社から Active Template Library (ATL) の脆弱性の修正プログラムが公開されました。この脆弱性を使用された場合、結果として遠隔の第三者によって任意のコードを実行される可能性があります。
ATL は Microsoft Visual Studio に含まれるライブラリで、Adobe FlashPlayer や Shockwave Player などで利用されている ActiveX コントロールの開発にも利用されています。このため、Microsoft 社以外の製品を利用している場合も影響を受ける可能性があります。
MS09-035
Visual Studio の Active Template Library の脆弱性により、リモートでコードが実行される (969706)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-035.mspx
なお JPCERT/CC では現時点でこの問題を利用した実際の攻撃を確認していません。
II. 影響を受けるソフトウェア
- Microsoft Visual Studio .NET 2003 Service Pack 1
- Microsoft Visual Studio 2005 Service Pack 1
- Microsoft Visual Studio 2005 Service Pack 1 64-bit Hosted Visual C++ Tools
- Microsoft Visual Studio 2008
- Microsoft Visual Studio 2008 Service Pack 1
- Microsoft Visual C++ 2005 Service Pack 1 再頒布可能パッケージ
- Microsoft Visual C++ 2008 再頒布可能パッケージ
- Microsoft Visual C++ 2008 Service Pack 1 再頒布可能パッケージ
上記の Visual Studio には脆弱性のある ATL が含まれています。また上記の Visual Studio を使って開発されたアプリケーションが特定バージョンのATLを使っていた場合、脆弱性の影響を受ける可能性があります。
なお VisualStudio 2002 の延長サポートは 2009年7月14日をもって終了しています。
III. 対策
本脆弱性については、その影響が Microsoft 社以外の製品にも及ぶことを理解した上で対策を行う必要があります。
開発者向け:
1. Visual Studio の修正プログラムをインストールする
お使いの Visual Studio が影響を受ける場合、速やかに MS09-035 のセ
キュリティ更新プログラムをインストールしてください。
2. 過去に作成したアプリケーションを確認する
ActiveX プラグインなどの開発者は下記ページで開発したアプリケーショ
ンが影響をうけるかどうかを確認してください。影響を受ける場合、
Visual Studio をアップグレード後に再度ビルドしてください。
ATL Security Update (英語サイト)
http://msdn.microsoft.com/ja-jp/ee309358(en-us).aspx
全てのユーザ向け:
1. MS09-034 の修正プログラムをインストールする
MS09-034 で提供されるセキュリティ更新プログラムは 3件の Internet
Explorer に存在する脆弱性を修正するだけでなく、ATL の影響を受ける
バージョンで開発された ActiveX コントロールの IE での既知の攻撃方
法による影響を緩和します。
2. Microsoft 社以外の製品の対応状況を確認する
Adobe Flash/Shockwave Player や Cisco Unity など現在判明しているだ
けでも複数のベンダーが近日中に ATL の問題を修正した製品をリリース
する予定です。
ATL の脆弱性修正済みの製品がリリースされる予定:
- Adobe Flash Player 2009/7/30 (米国時間)
- Adobe Shockwave Player バージョン 11.5.1.601 で修正済み
- Cisco Unity 4.x, 5.x, and 7. 未定
それら製品の修正プログラムの公開予定を確認し、リリースされたら速や
かにインストールを行ってください。
IV. 参考情報
マイクロソフト セキュリティ アドバイザリ (973882)
Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/973882.mspx
MS09-034
Internet Explorer 用の累積的なセキュリティ更新プログラム (972260)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-034.mspx
MS09-035
Visual Studio の Active Template Library の脆弱性により、リモートでコードが実行される (969706)
http://www.microsoft.com/japan/technet/security/bulletin/MS09-035.mspx
US-CERT Vulnerability Note VU#456745
ActiveX controls built with Microsoft ATL fail to properly handle initialization data
http://www.kb.cert.org/vuls/id/456745
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
前
コメント
共 有
