MS、IEと「Visual Studio」の緊急パッチを公開--ActiveX攻撃に対処

　Microsoftは米国時間7月28日、「Internet Explorer（IE）」の脆弱性からユーザーを保護する緊急パッチをリリースした。この脆弱性は、ActiveXコントロールおよびウェブアプリケーションコンポーネントの作成に用いられる技術に内在し、これまで攻撃の標的になっていた。

　IEの全バージョンを対象とする緊急パッチは、一般ユーザーを保護することになる。一方、「Visual Studio」のセキュリティアップデートは開発者たちの支援を意図しており、彼らが過去に作成したコントロールやコンポーネントのうち、影響を受ける可能性があるものを修復するのに使われる。

　Microsoftはまた、Adobe Systems、Sun Microsystems、Googleと連絡を取り合い、各社のソフトウェアに関係するコンポーネントのうち影響を受けるものについて検討してきたと、Microsoft Security Response CenterのMike Reavey氏は述べた。同氏は詳細については明らかにしなかった。

　Googleの広報担当者は、この問題で同社がMicrosoftに協力していることを認めたが、さらに詳しくコメントすることは拒否した。

　Microsoftがリリースした2件のセキュリティアップデートは、「Active Template Library（ATL）」の脆弱性に対処する。ATLは、ウェブアプリケーションのコンポーネントを作成するのに使用される。攻撃者はATLを標的にして、悪意あるコードを仕込んだサイトを訪れるネットサーファーのコンピュータの権限を奪おうとする可能性がある。

　深刻度評価が「緊急」レベルのセキュリティアップデート「MS-09034」は、IEユーザーが対象になる。もう一方の「MS-09035」は、Visual Studioを使う開発者が対象で、「警告」レベルとされている。影響を受けるバージョンは「Visual Studio 2005」と「Visual Studio 2008」だ。

　「ライブラリはさまざまな場所で使われる可能性があり、ライブラリの脆弱性は厳しい試練になる。（脆弱性が）実際に生じると、それは業界全体の問題となる」（Reavey氏）

　「脆弱性は、IEの中にではなく、コントロール群に内在するものだが、開発者たちがコントロールのアップデートを行う間に保護策を提供する目的で、（パッチがあてられた）IE（のバージョンが攻撃を防御するだろう）」とReavey氏は述べた。