2009 年 7 月のセキュリティ情報（情報元のブックマーク数）

本日のMS臨時パッチが出ていますねー。結構根深いのもあるようなので要注意

キーワード作成完了

セキュリティ情報 ID番号タイトルおよび概要最大深刻度および脆弱性の影響再起動情報影響を受けるソフトウェア

MS09-034 Internet Explorer 用の累積的なセキュリティ更新プログラム (972260)
これは、マイクロソフトセキュリティ情報 MS09-035 と同時に公開している定例外の累積的なセキュリティ更新プログラムです。(MS09-035 は Microsoft Active Template Library (ATL) の影響を受けるバージョンを使用して開発されたコンポーネントおよびコントロールに存在する脆弱性を説明しています。) 多層防御の対策として、この Internet Explorer 用の累積的なセキュリティ更新プログラムは、マイクロソフトセキュリティアドバイザリ (973882) およびマイクロソフトセキュリティ情報 MS09-035 で説明しているように、ATL の影響を受けるバージョンで開発されたコンポーネントおよびコントロールの Internet Explorer での既知の攻撃の方法による影響を緩和する手助けとなります。また、この累積的なセキュリティ更新プログラムは非公開で報告された 3 件のInternet Explorer に存在する脆弱性も解決します。この脆弱性により、ユーザーが Internet Explorer を使用して特別に細工された Web ページを表示すると、リモートでコードが実行される可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。緊急
リモートでコードが実行される要再起動 Microsoft Windows, Internet Explorer

MS09-035 Visual Studio の Active Template Library の脆弱性により、リモートでコードが実行される (969706)
このセキュリティ更新プログラムは、責任ある開示方法で報告された Visual Studio に含まれている、一般向けのバージョンの Microsoft Active Template Library (ATL) のいくつかの脆弱性を解決します。このセキュリティ更新プログラムは、特にコンポーネントおよびコントロールの開発者に向けられたものです。 ATL を使用してコンポーネントおよびコントロールを作成、配布する開発者はこのセキュリティ情報で提供している更新プログラムをインストールし、このセキュリティ情報で説明している脆弱性の影響を受けないコンポーネントおよびコントロールを作成するためのガイダンスに従い、お客様に配布する必要があります。このセキュリティ情報は、影響を受けるバージョンの ATL を使用して作成したコンポーネントまたはコントロールをユーザーが読み込んだ場合に、リモートでコードが実行される可能性があります。警告
リモートでコードが実行される要再起動 Microsoft Visual Studio

http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx

セキュリティ情報 ID番号	タイトルおよび概要	最大深刻度および脆弱性の影響	再起動情報	影響を受けるソフトウェア
MS09-034	Internet Explorer 用の累積的なセキュリティ更新プログラム (972260) これは、マイクロソフトセキュリティ情報 MS09-035 と同時に公開している定例外の累積的なセキュリティ更新プログラムです。(MS09-035 は Microsoft Active Template Library (ATL) の影響を受けるバージョンを使用して開発されたコンポーネントおよびコントロールに存在する脆弱性を説明しています。) 多層防御の対策として、この Internet Explorer 用の累積的なセキュリティ更新プログラムは、マイクロソフトセキュリティアドバイザリ (973882) およびマイクロソフトセキュリティ情報 MS09-035 で説明しているように、ATL の影響を受けるバージョンで開発されたコンポーネントおよびコントロールの Internet Explorer での既知の攻撃の方法による影響を緩和する手助けとなります。また、この累積的なセキュリティ更新プログラムは非公開で報告された 3 件のInternet Explorer に存在する脆弱性も解決します。この脆弱性により、ユーザーが Internet Explorer を使用して特別に細工された Web ページを表示すると、リモートでコードが実行される可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。	緊急リモートでコードが実行される	要再起動	Microsoft Windows, Internet Explorer
MS09-035	Visual Studio の Active Template Library の脆弱性により、リモートでコードが実行される (969706) このセキュリティ更新プログラムは、責任ある開示方法で報告された Visual Studio に含まれている、一般向けのバージョンの Microsoft Active Template Library (ATL) のいくつかの脆弱性を解決します。このセキュリティ更新プログラムは、特にコンポーネントおよびコントロールの開発者に向けられたものです。 ATL を使用してコンポーネントおよびコントロールを作成、配布する開発者はこのセキュリティ情報で提供している更新プログラムをインストールし、このセキュリティ情報で説明している脆弱性の影響を受けないコンポーネントおよびコントロールを作成するためのガイダンスに従い、お客様に配布する必要があります。このセキュリティ情報は、影響を受けるバージョンの ATL を使用して作成したコンポーネントまたはコントロールをユーザーが読み込んだ場合に、リモートでコードが実行される可能性があります。	警告リモートでコードが実行される	要再起動	Microsoft Visual Studio

MS09-034 で説明している問題について VeriSign iDefense Labs の Peter Vreugdenhil 氏

MS09-034 で説明している問題について TippingPoint と Zero Day Initiative と協力して報告してくださった team509 の Wushi 氏および Ling 氏

MS09-034 で説明している問題について TippingPoint と Zero Day Initiative と協力して報告してくださった Peter Vreugdenhil 氏

MS09-035 で説明している問題について報告してくださった IBM ISS X-Force の David Dewey 氏

MS09-035 で説明している 2 件の問題について VeriSign iDefense Labs の Ryan Smith 氏

http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx

なんとATLに関してFlash Playerも影響を受けるとのこと。

米Microsoftが開発ツールVisual Studioに組み込まれたActive Template Library（ATL）の脆弱性情報を公開したことを受けて、米Adobe Systemsは7月28日、Flash PlayerとShockwave Playerがこの脆弱性の影響を受けることが分かったと発表した。
Adobeによると、Flash PlayerとShockwave Playerは脆弱性のあるATLを利用して開発された。ただし脆弱性が存在するのはWindows版のInternet Explorer（IE）向けプラグインのFlash PlayerとShockwave Playerのみ。FirefoxなどIE以外のブラウザや、Mac、Linux、SolarisなどWindows以外のOSは影響を受けないという。
MSのATLの脆弱性はFlashとShockwaveにも影響 - ITmedia エンタープライズ

独自のアプリケーションでATLを配布している場合の更新も必要とのこと。このあたりの調査大変だなぁ

脆弱性のあるATLは、開発ツールのVisual Studioに含まれており、この脆弱性に対処したのが「MS09-035」の更新プログラム。ATLはソフトウェア開発用の部品として、さまざまなコンポーネントやコントロールに使われているライブラリであり、ユーザーを守るためには業界全体で対処することが必要だとMicrosoftは強調している。
更新プログラム配布の対象となる製品はVisual Studio .NET 2003、Visual Studio 2005／2008、Visual C++ 2005／2008の再頒布可能パッケージ。深刻度は4段階で下から2番目の「警告」レベルだが、脆弱性のあるATLを使って作成されたコンポーネント／コントロールをユーザーが読み込むと、リモートでコードを実行される恐れがある。
Microsoftは開発者向けのリソースページを併せて公開し、自分が開発したコントロールやコンポーネントでこのATLの脆弱性を悪用される恐れがあるかどうか、直ちにチェックしてほしいと呼び掛けている。脆弱性の影響を受ける場合は更新プログラムをインストールした上で、Microsoftのガイダンスに従って脆弱性の影響を受けないコンポーネント／コントロールを作成し、ユーザー向けに配布する必要がある。
Internet Explorer（IE）向けの累積的な更新プログラム「MS09-034」も、ATLの脆弱性との関連でリリースされた。IE自体にはATLに起因する脆弱性は存在しないものの、脆弱性のあるバージョンのATLを使って開発されたコンポーネント／コントロールをIE内部で攻撃する方法があることが判明したため、この攻撃に対抗できるよう、IEに多層防御を施したとしている。
MSが臨時パッチをリリース、Visual StudioとIEの脆弱性を修正 - ITmedia エンタープライズ

ATLは本気でやばいみたい・・・石坂さんもいってるや。

MS09-035はATLが包含する脆弱性に対するパッチで、これのまずさは今までの多くのWindowsのパッチと違いユーザー側やIT Prop側では基本的に対応できないところです。
開発者側で対応し、自社の製品等のアップデートをする必要があります。
どのような場合にパッチ適応とリビルドが必要なのか以下にフローチャート式でまとめられているので、ATLを使って開発をされている型は確認をしましょう。
http://www.isisaka.com/blog/archives/2009/07/ms09035.html

緊急とはいえ、辛い現実・・・って実感わかないや・・・

MSにお願い

サポートが切れているのはわかりますが、COMコンポーネントが一番活発に作られていたのはVC6の頃です。直接ソースパッチを公開することができなくても、ユーザー(開発者)側で修正できるような内容での情報公開はできないものでしょうか。

http://www.isisaka.com/blog/archives/2009/07/ms09035.html

もうね、大変みたい、開発者にとって、MS09-035って

Microsoft Security Research Center（MSRC）のディレクター、マイク・リービー（Mike Reavey）氏は次のように語っている。「これは複雑な問題だ。ライブラリの脆弱性については包括的な対応を要するため、対処が難しく、解決には多くの協力が必要になる」（リービー氏）。

　そもそもライブラリとは、開発者がよく利用するコードを再利用可能なかたちでまとめ、提供するものだ。ライブラリを利用することでソフトウェア開発は効率化されるが、ライブラリに欠陥があれば、それを利用して作成されたソフトウェア（アプリケーションに必要なActiveXコントロールや「.dll」）にも欠陥が生じることになる。

　今回は、Microsoft自身もこの問題に言及している。同社はパッチの公開に合わせ、開発者やIT専門家、個人ユーザーに及ぶリスクについて詳しく説明するために、セキュリティ・アドバイザリ（973882）を公開した。

　「マイクロソフトはATLを使用してコントロールまたはコンポーネントを構築した開発者にそのコントロールが脆弱性の影響を受ける状態であるかどうかを迅速に評価し、提供したガイダンスに従い影響を受けないコントロールおよびコンポーネントを作成することを強く推奨します」（セキュリティ・アドバイザリより、原文ママ）
http://www.computerworld.jp/topics/hole/156949.html?RSS

小野寺さんもBlogでリビルドの話を言っていますが、言うほど簡単じゃないんでしょうねぇ。

さて、ATL等を使った事がある方は、お気づきかもしれませんが、この脆弱性は、Visual Studioが攻撃の対象となるわけではありません。 Visual Studioに付属するATLを使用して、開発されたActiveXコントロールなどのコンポーネントやコントロールが影響を受けます。その際の現実的な攻撃経路 (Attacking vectorといいます)として、特別な細工が施されたWebサイトから、影響を受けるActiveXコントロールが呼び出される場合です。この辺の関連は、MS09-034とセットで必要があるため、後述します。
MS09-035は、今後、脆弱性の影響を受けないコントロールやコンポーネントを開発できるように、ATLを更新してATL内の脆弱性に対処しています。そのため、影響を受ける可能性のあるコンポーネント開発者は、MS09-035の更新プログラム適用後に、該当コンポーネントを、リビルドする必要があります。
http://blogs.technet.com/jpsecurity/archive/2009/07/29/3268885.aspx

関連URL

US-CERT Technical Cyber Security Alert TA09-209A -- Microsoft Windows, Internet Explorer, and Active Template Library (ATL) Vulnerabilities

US-CERT Current Activity

Microsoft Active Template Library patches published out-of-band | SophosLabs blog

Security Research & Defense : Overview of the out-of-band release

Security Research & Defense : Internet Explorer Mitigations for ATL Data Stream Vulnerabilities

Security Research & Defense : MSVIDCTL (MS09-032) and the ATL vulnerability

Security Research & Defense : ATL vulnerability developer deep dive

Microsoft offers patches to ward off ActiveX attacks | InSecurity Complex - CNET News

Microsoft Internet Explorer (CVE-2009-1919) Uninitialized Memory Remote Code Execution Vulnerability

Microsoft Internet Explorer HTML Table Object Remote Code Execution Vulnerability

Microsoft Internet Explorer HTML Table Object Remote Code Execution Vulnerability

MS released two OOB bulletins and an advisory

開発者に対処を呼び掛け：MSが臨時パッチをリリース、Visual StudioとIEの脆弱性を修正 - ITmedia エンタープライズ

マイクロソフト、臨時の修正パッチ2件を公開 - Enterprise Watch

MS、IEと「Visual Studio」の緊急パッチを公開--ActiveX攻撃に対処 - セキュリティ - ZDNet Japan

マイクロソフト、臨時の修正パッチ2件を公開 -INTERNET Watch

@police-マイクロソフト社のセキュリティ修正プログラムについて(MS09-034,035)(7/29)

JVNTA09-209A: Microsoft Windows、Internet Explorer および Active Template Library (ATL) における脆弱性

過去に類を見ないほど“怖い”脆弱性、MSがパッチを緊急リリース | パソコン：最新ニュース | nikkei BPnet 〈日経BPネット〉

エフセキュアブログ : Microsoftから新たなOut-of-Bandパッチ