2009年7月29日 page:1/2
勝村 幸博=日経パソコン
マイクロソフトは2009年7月29日、同社の開発ツール「Visual Studio」に含まれるライブラリーに脆弱(ぜいじゃく)性が見つかったことを明らかにした。同ツールで開発されたActiveXコントロールをインストールしている場合には、細工が施されたWebサイトにアクセスするだけで、悪質なプログラム(ウイルスなど)を勝手に実行される恐れがある。同日、同社ではライブラリーの脆弱性を修正するパッチ(セキュリティ更新プログラム)や、この脆弱性を突く攻撃を回避するためのInternet Explorer(IE)用パッチを公開した。
今回公開されたセキュリティ情報は以下の2件。
(1)[MS09-035]Visual StudioのActive Template Libraryの脆弱性により、リモートでコードが実行される (969706)
(2)[MS09-034]Internet Explorer用の累積的なセキュリティ更新プログラム (972260)
(1)は、Visual Studioに含まれるライブラリー「Active Template Library(ATL)」の脆弱性に関するセキュリティ情報。ATLは、ActiveXコントロールやCOMオブジェクトなどを作成するために使われるライブラリー。ATLにはデータ処理などに関する脆弱性が存在する。このため、ATLで作成されたActiveXコントロールにも脆弱性が存在し、悪用される危険性がある。
具体的には、細工が施されたWebページにIEでアクセスすると、脆弱性のあるActiveXコントロールが呼び出されて、脆弱性を悪用するデータを渡される。その結果、データに含まれるウイルスなどを勝手に実行される恐れがある。
ATLには、マイクロソフトの開発者が使用する「プライベートバージョン」と、サードパーティ(他社)や個人の開発者が使用する「パブリックバージョン」がある。今回の脆弱性はいずれにも存在する。つまり、マイクロソフトが提供するActiveXコントロールだけではなく、サードパーティのActiveXコントロールにも、今回の脆弱性が存在する可能性がある。
前者の一例は、Windowsに含まれる「Video ActiveXコントロール」。これについては、このActiveXコントロールを悪用できないようにするためのパッチ(IEから呼び出せないようにするためのパッチ)が、2009年7月15日に「[MS09-032]ActiveXのKill Bitの累積的なセキュリティ更新プログラム (973346)」として公開されている。
後者の例としては、アドビシステムズのFlash PlayerとShockwave PlayerのActiveXコントロール(IE用のプラグイン)が挙げられる。同社の情報によれば、Shockwave Playerについては最新版で修正済み。Flash Playerについては、2009年7月30日までに修正版を提供するとしている。
そのほか、シスコシステムズも「Cisco Unity 4.x/5.x/7.x」のActiveXコントロールにも同様の脆弱性があることを明らかにしている(対応時期は未定)。これらのメーカーの製品以外にも、同様の脆弱性が存在する可能性は極めて高い。今後、複数のメーカーから、今回の脆弱性に関する情報や修正版が公開されると予想される。
ユーザーとしては、それらの情報をできるだけチェックして、自分が使用しているソフトウエア(ActiveXコントロール)が影響を受ける場合には、速やかに修正版や回避策を適用する必要がある。
注意してほしいのは、(1)のパッチは、ATLを修正するためのVisual Studio用パッチであること。(1)のパッチを適用したVisual Studioでは、以後作成するActiveXコントロールに脆弱性は含まれなくなるが、過去に作成されたActiveXコントロールの脆弱性は修正されない。開発者は、(1)のパッチを適用したVisual StudioでActiveXコントロールを再構築し、ユーザーに改めて配付する必要がある。
(1)のパッチの適用対象は、Visual Studio .NET 2003、Visual Studio 2005/2008、Visual C++ 2005/2008。(1)はATLの脆弱性であり、Visual Studio自体の脆弱性ではない。(1)の脆弱性を悪用されても、Visual Studioが攻撃を受けることはないため、最大深刻度は4段階評価で上から3番目の「警告」に設定している。
しかしながら(1)の脆弱性は、マイクロソフト製品以外も影響を受ける可能性があり、加えて、メーカーが発表しなければ、どの製品が影響を受けるのかユーザーには分からない。しかも、(1)の影響を受けるソフトウエアをインストールしている場合には、Webページにアクセスするだけで被害に遭う恐れがある、極めて危険な脆弱性である。このため今回、定例外(米国時間第2火曜日以外)で公開されたと考えられる。
7年分168冊、約2万ページが1枚のDVDに!
日経パソコン読者には特価を適用!
パソコンはもちろん、プリンター、スマホ、
テレビもつないで、もっと便利に!
とにかく読みやすい入門書!
見やすい文書作りのコツを「実例」で学ぶ!
そもそもスマホって? 携帯と何が違うの?
も解説。買い方、使い方を分かりやすく紹介
パソコンを仕事と生活に活かす総合情報誌
・Vista/XPから脱出せよ
・「2012年型パソコン」を読み解く
・ビジネスプリンター購入ガイドほか
パソコン初心者応援マガジン
・写真とビデオをデジタル保存
・ウェブアルバムを使おう
・フェイスブック初めの一歩ほか
パワーユーザーのためのPC総合情報誌
・2012年版自作の疑問100
・旬のPCケース25製品レビュー
・Radeon HD7970を速攻テストほか
ビジネスマンのパソコン誌
・今すぐ始めるクラウド
・DVD&ブルーレイ活用術
・ネット&携帯電話 節約ガイドほか
「日経パソコン」のお申し込み、詳しい内容はコチラから
10位まで表示
閉じる
もっと見る
