Microsoftは米国時間7月28日、「Internet Explorer(IE)」の脆弱性からユーザーを保護する緊急パッチをリリースした。この脆弱性は、ActiveXコントロールおよびウェブアプリケーションコンポーネントの作成に用いられる技術に内在し、これまで攻撃の標的になっていた。
IEの全バージョンを対象とする緊急パッチは、一般ユーザーを保護することになる。一方、「Visual Studio」のセキュリティアップデートは開発者たちの支援を意図しており、彼らが過去に作成したコントロールやコンポーネントのうち、影響を受ける可能性があるものを修復するのに使われる。
Microsoftはまた、Adobe Systems、Sun Microsystems、Googleと連絡を取り合い、各社のソフトウェアに関係するコンポーネントのうち影響を受けるものについて検討してきたと、Microsoft Security Response CenterのMike Reavey氏は述べた。同氏は詳細については明らかにしなかった。
Googleの広報担当者は、この問題で同社がMicrosoftに協力していることを認めたが、さらに詳しくコメントすることは拒否した。
Microsoftがリリースした2件のセキュリティアップデートは、「Active Template Library(ATL)」の脆弱性に対処する。ATLは、ウェブアプリケーションのコンポーネントを作成するのに使用される。攻撃者はATLを標的にして、悪意あるコードを仕込んだサイトを訪れるネットサーファーのコンピュータの権限を奪おうとする可能性がある。
深刻度評価が「緊急」レベルのセキュリティアップデート「MS-09034」は、IEユーザーが対象になる。もう一方の「MS-09035」は、Visual Studioを使う開発者が対象で、「警告」レベルとされている。影響を受けるバージョンは「Visual Studio 2005」と「Visual Studio 2008」だ。
「ライブラリはさまざまな場所で使われる可能性があり、ライブラリの脆弱性は厳しい試練になる。(脆弱性が)実際に生じると、それは業界全体の問題となる」(Reavey氏)
「脆弱性は、IEの中にではなく、コントロール群に内在するものだが、開発者たちがコントロールのアップデートを行う間に保護策を提供する目的で、(パッチがあてられた)IE(のバージョンが攻撃を防御するだろう)」とReavey氏は述べた。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。原文へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」