マイクロソフトは2009年8月12日、月例セキュリティ修正プログラムの配布を開始した。開発ツール「Visual Studio」で開発したプログラムにぜい弱性が生じる問題の影響範囲が拡大しており、Outlook ExpressやWindows Media Playerもセキュリティ修正が行われた(関連記事:過去に類を見ないほど“怖い”脆弱性、MSがパッチを緊急リリース)。
Visual Studioで作ったソフトにぜい弱性、サードパーティの対応はこれから
ATLのぜい弱性問題とは、Visual Studioのライブラリである「ATL(Active Template Library)」にバグが存在したことから、Visual Studioで開発したプログラムにぜい弱性ができてしまった問題を指す。マイクロソフトは7月29日に、Visual Studioを修正するパッチを緊急配布したが、このパッチを適用しても開発したプログラムのぜい弱性は修正されない。プログラム自体を別途修正する必要がある。マイクロソフトも今回、ATLのぜい弱性の影響を受けたマイクロソフト製の4種類のプログラム(Outlook Express、Windows Media Player、DHTML編集コンポーネントActive X コントロール、MSWebDVD ActiveXコントロール)のセキュリティ修正を改めて行っている。
ATLのぜい弱性問題は、マイクロソフト以外のサードパーティが開発したプログラムにも存在する。サードパーティ開発者は、バグを修正したVisual Studioでプログラムを再コンパイルして、プログラムを再配布する必要がある。既にアドビシステムズやシスコシステムズが、ATLのぜい弱性問題に対応した修正済みプログラム(Flash PlayerやCisco Unity)の配布を開始しているが、「ATLのぜい弱性問題について情報が公開されてからまだ2週間しか経っていないので、他のサードパーティの対応はこれからと思われる」(マイクロソフト セキュリティレスポンスチームの小野寺匠氏)という。
ATLは、Internet Explorerのプラグインである「ActiveXコントロール」の開発に多く使われているほか、一般的なWindowsアプリケーションの開発に使われているケースもある。今回のセキュリティ修正でも、Outlook ExpressやWindows Media Playerといった、ActiveXコントロールではないプログラムが修正の対象となった。開発ツールに「Visual Studio」を、開発言語にCまたはC++を使用し、ライブラリとしてATLを使用した開発者は、マイクロソフトの公開した情報「開発者向け Active Template Library のセキュリティ更新プログラム」などを参考に、ソースコードを再チェックし、場合によってはプログラムを再コンパイルする必要がある。ATLのぜい弱性問題を突くウイルスやワームはまだ見つかっていないが、いつ登場してもおかしくない。
リモートデスクトップ接続クライアントなどにもぜい弱性
マイクロソフトは今回、「緊急」のセキュリティ情報を5件公開している。いずれもウイルスやワームなどによってぜい弱性を攻撃されると、OS上で自由にプログラムを実行されてしまうという危険度の高いものである。パッチ適用後はOSの再起動が必要になるが、可能な限り速やかに修正パッチを適用すべきだ。
ATLのぜい弱性問題以外では、「Microsoft Office Webコンポーネントの脆弱性により、リモートでコードが実行される (957638)」「リモート デスクトップ接続の脆弱性により、リモートでコードが実行される (970927)」「WINS の脆弱性により、リモートでコードが実行される (969883)」「Windows Media ファイル処理における脆弱性により、リモートでコードが実行される (971557)」などが存在する。
[発表資料]
