第09-37-162-1号
最終更新日:2009年 8月14日
※追記すべき情報がある場合には、その都度このページを更新する予定です。
概要
マイクロソフト社の ATL (Active Template Library) (*) にリモートからコード(命令)を実行される脆弱性(973908)(MS09-037)が存在します。
-
(1)Microsoft Video ActiveX コントロールの脆弱性 - CVE-2008-0015
(2)ATL ヘッダーの Memcopy の脆弱性 - CVE-2008-0020
(3)ATL の未初期化オブジェクトの脆弱性 - CVE-2009-0901
(4)ATL COM の初期化の脆弱性 - CVE-2009-2493
(5)ATL のオブジェクトの種類の不一致の脆弱性 - CVE-2009-2494
攻撃者がこの脆弱性を悪用した攻撃コードを埋め込んだサイトを作成し、ユーザが Internet Explorer でそのサイトを閲覧した場合、攻撃者がユーザのパソコンを制御できるようになる恐れがあります。
(1)の脆弱性を悪用した攻撃コードを埋め込んだサイトが複数確認されていますので、至急、対処して下さい。
注(*) Windows で動作するプログラムの、作成や動作を補助する仕組みです。Adobe Flash Player の ActiveX コントロールなど、Microsoft が作成したプログラム以外のものでも利用されています。対象
- Windows 2000
- Windows XP
- Windows Vista
- Windows Server 2003
- Windows Server 2008
- Outlook Express 5.5 および Outlook Express 6
- Windows Media Player 9、同 10 および 同11
- DHTML 編集コンポーネント Active X コントロール
- Windows ATL コンポーネント
- Microsoft MSWebDVD ActiveX コントロール
上記OSにインストールされた、以下のプログラムが対象です。
対策
1. 脆弱性の解消 - 修正プログラムの適用 -
マイクロソフト社から提供されている修正プログラムを適用して下さい。
修正プログラムの適用方法には、Microsoft Update による一括修正の方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。
Microsoft Update による一括修正方法
Microsoft Update の機能を利用することによって、複数のセキュリティ修正プログラムを一括してインストールすることができます。
http://windowsupdate.microsoft.com/Microsoft Update の利用方法については以下のサイトを参照してください。
http://www.microsoft.com/japan/athome/security/update/j_musteps.mspxなお、Service Pack の適用を制御している場合、一括修正で最新のService Pack が適用される可能性がありますので、ご注意ください。
-
個別の修正プログラムをダウンロードしてインストールする方法
下記のマイクロソフト社のページより、修正プログラムをダウンロードしてインストールします。
http://www.microsoft.com/japan/technet/security/bulletin/ms09-037.mspx
2. 回避策
マイクロソフト社から提供される情報を参照して下さい。
参考情報
-
JVN
http://jvn.jp/cert/JVNTA09-223A/ -
US-CERT
http://www.us-cert.gov/cas/techalerts/TA09-223A.html -
SecurityFocus
http://www.securityfocus.com/bid/35558/
http://www.securityfocus.com/bid/35585/
http://www.securityfocus.com/bid/35832/
http://www.securityfocus.com/bid/35828/
http://www.securityfocus.com/bid/35982/
-
Secunia
http://secunia.com/advisories/36187/ -
CVE番号
CVE-2008-0015 CVE-2008-0020 CVE-2009-0901
CVE-2009-2493 CVE-2009-2494
更新履歴
2009年 8月14日 | 「対象」欄から「Windows ATL Binary」を削除 |
---|---|
2009年 8月12日 | 掲載 |