09/07/29 21:14:24
>>173
●マイクロソフト、臨時の修正パッチ2件を公開
バグのあるライブラリを使用したサードパーティ製ソフトウェアの修正/更新も必要
URLリンク(internet.watch.impress.co.jp)
マイクロソフトは29日、定例外のセキュリティ更新プログラム(修正パッチ)と して、Internet Explorer(IE)の修正パッチ「MS09-034」と、
Visual Studioに関する修正パッチ「MS09-035」の2件を公開した。
●過去に類を見ないほど“怖い”脆弱性、MSがパッチを緊急リリース
開発ツールのライブラリーに“穴”、他社製品にも影響、Webアクセスだけで被害、開発者にも対応を呼びかけ
URLリンク(pc.nikkeibp.co.jp)
URLリンク(www.computerworld.jp)
URLリンク(www.itmedia.co.jp)
(1)[MS09-035]Visual StudioのActive Template Libraryの脆弱性により、リモートでコードが実行される (969706)
(2)[MS09-034]Internet Explorer用の累積的なセキュリティ更新プログラム (972260)
(1)のパッチを適用したVisual Studioでは、以後作成するActiveXコントロールにATL脆弱性は含まれなくなるが、過去に作成されたActiveXコントロールの脆弱性は修正されない。
開発者は、(1)のパッチを適用したVisual StudioでActiveXコントロールを再構築し、ユーザーに改めて配付する必要がある。
しかしながら(1)の脆弱性は、マイクロソフト製品以外も影響を受ける可能性があり、加えて、メーカーが発表しなければ、どの製品が影響を受けるのかユーザーには分からない。
(2)のパッチを適用すれば、(1)の脆弱性があるActiveXコントロールが、IE経由で呼び出されなくなる。
●MS臨時パッチの脆弱性はFlashにも影響、7月30日の修正版で対応
URLリンク(internet.watch.impress.co.jp)
マイクロソフトが臨時の修正パッチを公開した「Active Template Library(ATL)」の脆弱性が、Flash PlayerとShockwave Playerにも影響があることを公表した。
Shockwave Playerは最新版で脆弱性を修正済みとなっており、Flash Playerについては7月30日に予定しているFlash Playerのアップデートで対応するとしている。