公開日:2009/07/29 最終更新日:2015/10/21

JVNTA09-209A
Microsoft Windows、Internet Explorer および Active Template Library (ATL) における脆弱性
緊急

概要

マイクロソフトから緊急 1件を含む定例外の各製品向けの更新プログラムが公開されました。

影響を受けるシステム

  • Microsoft Windows および Windows Server
  • Microsoft Internet Explorer
  • Microsoft Visual Studio および C++ Redistributable Package
  • その他のベンダが配布している ActiveX コントロール

詳細情報

マイクロソフトから Active Template Library (ATL) の脆弱性に対応した更新プログラムが公開されました。

更新プログラムの一つは、Microsoft Visual Studio に含まれる ATL の脆弱性を修正するものとなっています。もう一つは、脆弱性が含まれている ATL を使用して作成された ActiveX コントロールや COM コンポーネントへの攻撃を防ぐための対策およびその他の脆弱性を修正する Internet Explorer 向けのものとなっています。

想定される影響

細工された HTML ドキュメントをユーザが読み込んだ場合、任意のコードを実行される可能性があります。

対策方法

アップデートする
マイクロソフトが提供する情報をもとにアップデートを行ってください。

なお、ActiveX コントロールおよび COM コンポーネントの開発者は、Microsoft Visual Studio 向けの更新プログラムを適用し、再コンパイルを行ってください。

詳しくはマイクロソフトが提供する情報をご確認ください。

参考情報

  1. Vulnerability Note VU#456745
    ActiveX controls built with Microsoft ATL fail to properly handle initialization data
  2. JVNTA09-187A
    Microsoft Video ActiveX コントロールにおけるバッファオーバーフローの脆弱性 - 緊急
  3. Technical Cyber Security Alert TA09-187A
    Microsoft Video ActiveX Control Vulnerability
  4. Vulnerability Note VU#180513
    Microsoft Video ActiveX control stack buffer overflow
  5. JVNTA09-195A
    Microsoft 製品における複数の脆弱性に対するアップデート - 緊急
  6. Technical Cyber Security Alert TA09-195A
    Microsoft Updates for Multiple Vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2009-0014
Microsoft ATL を使用した複数製品の脆弱性に関する注意喚起
JPCERT REPORT
CERT Advisory Technical Cyber Security Alert TA09-209A
Microsoft Windows, Internet Explorer, and Active Template Library (ATL) Vulnerabilities
CPNI Advisory
TRnotes
CVE CVE-2009-0901
CVE-2009-2493
CVE-2009-2495
JVN iPedia

更新履歴

2009/07/30
ベンダ情報に富士通のリンクを追加しました。
2015/10/21
ベンダ情報を更新しました