マイクロソフトは2009年7月29日、同社の開発ツール「Visual Studio」に含まれるライブラリーに脆弱(ぜいじゃく)性が見つかったことを明らかにした。同ツールで開発されたActiveXコントロールをインストールしている場合には、細工が施されたWebサイトにアクセスするだけで、悪質なプログラム(ウイルスなど)を勝手に実行される恐れがある。同日、同社ではライブラリーの脆弱性を修正するパッチ(セキュリティ更新プログラム)や、この脆弱性を突く攻撃を回避するためのInternet Explorer(IE)用パッチを公開した。

 今回公開されたセキュリティ情報は以下の2件。

(1)[MS09-035]Visual StudioのActive Template Libraryの脆弱性により、リモートでコードが実行される (969706)
(2)[MS09-034]Internet Explorer用の累積的なセキュリティ更新プログラム (972260)

影響は広範、被害は甚大

 (1)は、Visual Studioに含まれるライブラリー「Active Template Library(ATL)」の脆弱性に関するセキュリティ情報。ATLは、ActiveXコントロールやCOMオブジェクトなどを作成するために使われるライブラリー。ATLにはデータ処理などに関する脆弱性が存在する。このため、ATLで作成されたActiveXコントロールにも脆弱性が存在し、悪用される危険性がある。

 具体的には、細工が施されたWebページにIEでアクセスすると、脆弱性のあるActiveXコントロールが呼び出されて、脆弱性を悪用するデータを渡される。その結果、データに含まれるウイルスなどを勝手に実行される恐れがある。

 ATLには、マイクロソフトの開発者が使用する「プライベートバージョン」と、サードパーティ(他社)や個人の開発者が使用する「パブリックバージョン」がある。今回の脆弱性はいずれにも存在する。つまり、マイクロソフトが提供するActiveXコントロールだけではなく、サードパーティのActiveXコントロールにも、今回の脆弱性が存在する可能性がある。

 前者の一例は、Windowsに含まれる「Video ActiveXコントロール」。これについては、このActiveXコントロールを悪用できないようにするためのパッチ(IEから呼び出せないようにするためのパッチ)が、2009年7月15日に「[MS09-032]ActiveXのKill Bitの累積的なセキュリティ更新プログラム (973346)」として公開されている。

 後者の例としては、アドビシステムズのFlash PlayerとShockwave PlayerのActiveXコントロール(IE用のプラグイン)が挙げられる。同社の情報によれば、Shockwave Playerについては最新版で修正済み。Flash Playerについては、2009年7月30日までに修正版を提供するとしている。

 そのほか、シスコシステムズも「Cisco Unity 4.x/5.x/7.x」のActiveXコントロールにも同様の脆弱性があることを明らかにしている(対応時期は未定)。これらのメーカーの製品以外にも、同様の脆弱性が存在する可能性は極めて高い。今後、複数のメーカーから、今回の脆弱性に関する情報や修正版が公開されると予想される。

 ユーザーとしては、それらの情報をできるだけチェックして、自分が使用しているソフトウエア(ActiveXコントロール)が影響を受ける場合には、速やかに修正版や回避策を適用する必要がある。

 注意してほしいのは、(1)のパッチは、ATLを修正するためのVisual Studio用パッチであること。(1)のパッチを適用したVisual Studioでは、以後作成するActiveXコントロールに脆弱性は含まれなくなるが、過去に作成されたActiveXコントロールの脆弱性は修正されない。開発者は、(1)のパッチを適用したVisual StudioでActiveXコントロールを再構築し、ユーザーに改めて配付する必要がある。

 (1)のパッチの適用対象は、Visual Studio .NET 2003、Visual Studio 2005/2008、Visual C++ 2005/2008。(1)はATLの脆弱性であり、Visual Studio自体の脆弱性ではない。(1)の脆弱性を悪用されても、Visual Studioが攻撃を受けることはないため、最大深刻度は4段階評価で上から3番目の「警告」に設定している。

 しかしながら(1)の脆弱性は、マイクロソフト製品以外も影響を受ける可能性があり、加えて、メーカーが発表しなければ、どの製品が影響を受けるのかユーザーには分からない。しかも、(1)の影響を受けるソフトウエアをインストールしている場合には、Webページにアクセスするだけで被害に遭う恐れがある、極めて危険な脆弱性である。このため今回、定例外(米国時間第2火曜日以外)で公開されたと考えられる。

ここからは会員の登録が必要です。