マイクロソフトの開発ツール「Visual Studio 6.0」に付属する旧版のマスクエディットコントロール(Msmask32.ocx)に、コード実行のおそれのある深刻な脆弱性が見つかった問題で、攻撃に悪用できる危険な実証コードがインターネット上で公開された。
マスクエディットコントロールは、標準のテキストボックスに書式に従った入力と表示の機能を追加したActiveXコントロール。同社が開発者向けに提供しているもので、エンドユーザーには、VisualBasicで作られたアプリケーションなどとともに再配布されている。
報告されている脆弱性は、書式を定義するためのプロパティに長い文字列を渡すと、スタックベースのバッファオーバーフローが発生するというもの。今月14日に公開された実証コードは、脆弱性を突いてクラッシュを引き起こす簡単なデモだったが、26日には実際にコードを実行してみせるデモが公開され、攻撃コードに転用されるおそれが高まっている。
影響を受けるのは、Visual Studio 6.0に付属する初期版のMsmask32.ocx(バージョン 6.0.81.69)およびそれ以前のバージョン。開発者向けには、1999年5月リリースのVisual Studio 6.0 SP3(Service Pack 3)から、脆弱性の影響を受けない「バージョン6.0.84.18」が提供されているが、2000年以前に作られたアプリケーションには、問題のある旧版が含まれている可能性が高い。旧版がインストールされているパソコンは、最新版への早急な更新が望まれる。
現時点では、マイクロソフトからエンドユーザー向けの更新パッケージは提供されておらず、開発者経由で更新版の提供を受けるか、6.0 SP3以降のマスクエディットコントロールを含むアプリケーションをインストールすることによって、古いActiveXコントロールが更新される。
ベクターなどのオンラインソフトの配布サイトでは、Visual Basic 6.0 SP6(SP6は、6.0の最新版)用のランタイムやActiveXコントロールをまとめてインストールするためのアプリケーションが配布されており、これを利用するのが手っ取り早いだろう。
(2008/08/27 ネットセキュリティニュース)