logo

MS、IEと「Visual Studio」の緊急パッチを公開--ActiveX攻撃に対処

文:Elinor Mills(CNET News) 翻訳校正:緒方亮、高森郁哉2009年07月29日 11時49分
  • このエントリーをはてなブックマークに追加

 Microsoftは米国時間7月28日、「Internet Explorer(IE)」の脆弱性からユーザーを保護する緊急パッチをリリースした。この脆弱性は、ActiveXコントロールおよびウェブアプリケーションコンポーネントの作成に用いられる技術に内在し、これまで攻撃の標的になっていた。

 IEの全バージョンを対象とする緊急パッチは、一般ユーザーを保護することになる。一方、「Visual Studio」のセキュリティアップデートは開発者たちの支援を意図しており、彼らが過去に作成したコントロールやコンポーネントのうち、影響を受ける可能性があるものを修復するのに使われる。

 Microsoftはまた、Adobe Systems、Sun Microsystems、Googleと連絡を取り合い、各社のソフトウェアに関係するコンポーネントのうち影響を受けるものについて検討してきたと、Microsoft Security Response CenterのMike Reavey氏は述べた。同氏は詳細については明らかにしなかった。

 Googleの広報担当者は、この問題で同社がMicrosoftに協力していることを認めたが、さらに詳しくコメントすることは拒否した。

 Microsoftがリリースした2件のセキュリティアップデートは、「Active Template Library(ATL)」の脆弱性に対処する。ATLは、ウェブアプリケーションのコンポーネントを作成するのに使用される。攻撃者はATLを標的にして、悪意あるコードを仕込んだサイトを訪れるネットサーファーのコンピュータの権限を奪おうとする可能性がある。

 深刻度評価が「緊急」レベルのセキュリティアップデート「MS-09034」は、IEユーザーが対象になる。もう一方の「MS-09035」は、Visual Studioを使う開発者が対象で、「警告」レベルとされている。影響を受けるバージョンは「Visual Studio 2005」と「Visual Studio 2008」だ。

 「ライブラリはさまざまな場所で使われる可能性があり、ライブラリの脆弱性は厳しい試練になる。(脆弱性が)実際に生じると、それは業界全体の問題となる」(Reavey氏)

 「脆弱性は、IEの中にではなく、コントロール群に内在するものだが、開発者たちがコントロールのアップデートを行う間に保護策を提供する目的で、(パッチがあてられた)IE(のバージョンが攻撃を防御するだろう)」とReavey氏は述べた。

この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。原文へ

-PR-企画特集