マイクロソフトは29日、Internet Explorer(IE)と、開発ツールVisual StudioのATLの脆弱性を修正する定例外のセキュリティパッチを公開した。
IEのセキュリティパッチは、後述するATLの問題に対処するための緩和策の実装と、それとは別のメモリー破壊を引き起こす深刻な問題3件が修正される。影響するのはIE 5/6/7で、任意のコードが実行されるおそれがある。
Visual Studioのセキュリティパッチは、同ツールで開発されたATL(Active Template Library)を使用するコンポーネントに影響。悪用されるとコード実行や情報漏えいのおそれがあるほか、IE上で実行しないように設定したはずのActiveXコントロールが、無効化を無視して実行されてしまう可能性がある。
これまでにリリースされたActiveXコントロールの中には、脆弱性は修正せず、IE上で実行されないようにKillbitを設定して問題を回避しているものも数多くある。たとえば、先頃ゼロデイ攻撃の対象となったDirectShowのVideo ActiveXコントロールもそのひとつだが、この脆弱性が悪用されると、無効化したはずの問題のあるActiveXコントロールが再び呼び出され、攻撃の対象になってしまう。
ATLの脆弱性は、今回のセキュリティパッチのみで全て解消というわけではなく、影響を受けるコンポーネントやコントロールの中には、各社の対応を待たなければならないものもある。このため、今回はIE側にも悪用を阻止するための防御対策が新たに組み込まれている。
なお、今回のリリースが定例外の緊急パッチであったことから、編集部ではゼロデイ攻撃の可能性を懸念していたが、修正される脆弱性に関しては、いずれも悪用などは確認されていないという。米ラスベガスでは現在、セキュリティカンファレンス「Black Hat USA」が開催されており、現地時間29日のプレゼンテーションで、Killbitが無視されるATLの脆弱性を取り上げるそうだ。今回の緊急パッチのリリースは、これに合わせたものだったということだ。
(2009/07/29 ネットセキュリティニュース)
■2009 年 7 月のセキュリティ情報(マイクロソフト)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx
■マイクロソフト セキュリティ アドバイザリ (973882): Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される(マイクロソフト)
http://www.microsoft.com/japan/technet/security/advisory/973882.mspx
■Black Hat USA Spotlight ATL Killbit Bypass[英文](Microsoft BlueHat Blog)
http://blogs.technet.com/bluehat/archive/2009/07/27/black-hat-usa-atl-killbit-bypass.aspx