定例外公開のマイクロソフトセキュリティ更新を確認する

　7月29日未明（日本時間）、マイクロソフトは毎月定例的に行われるセキュリティ更新以外の更新として、Visual Studio関連の「MS09-035」と、Internet Explorer（IE）関連の「MS09-034」を公開した。また、「Microsoft ATL（Active Template Library）の脆弱性により、リモートでコードが実行される」という件名のセキュリティアドバイザリ（973882）も公開している。

　今回公開された修正パッチとセキュリティアドバイザリはそれぞれ関連があり、根本原因となっているのは、セキュリティアドバイザリでも取り上げられているATLの脆弱性だ。

　米Microsoft Security Research & Defenseのブログによれば、現時点ではこの脆弱性に対する悪用は確認されていないものの、脆弱性についてマイクロソフトに寄せられる情報は過去数週間で深刻なものとなっているという。

　また、現在米国で開催されているセキュリティコンファレンス「Black Hat USA」「DEFCON」において、この脆弱性に関する発表と思われる予告が行われている。マイクロソフトではこうした事情から、予告された発表日の前日である28日（米国時間）に、セキュリティ更新とセキュリティアドバイザリを公開したという。

「Acitve XのKillbit設定を無視して脆弱性を利用する方法」をBlack Hatで公表するとしている広告

　この予告の内容が本当で、それを防ぐための手段が今回の修正パッチなのだとすれば、Windowsのセキュリティにとっては大きな問題だ。この脆弱性の情報が一般に公開されるのだとすると、防御しなければならないタイムリミットまであまり間がないことになる。ユーザーは、できるだけ早急に内容を確認し、修正パッチを適用する必要があると言えるだろう。

●今後さまざまなソフトにもアップデートの可能性

　それでは、今回の最大の問題であるATLと、その脆弱性についてみておこう。

　ATLとは、それまで煩雑だったActiveXコントロールやOLEサーバーの開発を楽に行えるようにするためのC++用ライブラリで、1999年に発売された「Visual C++ 6.0」から標準で付属している。

　セキュリティアドバイザリで告知されているのは、このATLライブラリを使用して開発したActiveXコントロールなどが、ATLライブラリ中の脆弱性によって、脆弱性を持ったプログラムとなっている可能性があるという問題だ。

　ATLライブラリは、前述したように1999年発売の開発製品から使用されており、Windowsの非常に重要な位置を占める機能でもある。したがって、市販されているソフトウェアのコンポーネントや、広く配布されているActiveXコンポーネントにも、このATLライブラリの脆弱性が含まれる可能性は高い。

　また、ソフト開発者にとっては、自分の開発したコンポーネントが攻撃に悪用されないように、新しいATLライブラリを使用して脆弱性を解消した新しいバージョンに作り直す必要が生じている。実際に、AdobeでもWindows用のFlash PlayerにATLライブラリの問題による脆弱性が存在しており、7月30日までに修正版をリリースするとしている。

　今後しばらくの間は同様に、ActiveXコンポーネントなどの仕組みを利用したソフトウェアについて、脆弱性修正のためのバージョンアップが行われることになるだろう。マイクロソフト製品のように自動的にアップデートを行うようなソフトなら問題ないが、そうでないソフトに関してはアップデートについてユーザー側で注意しておく必要がある。

●ソフト開発者は大至急「MS09-035」を適用し再コンパイルを

　脆弱性を解消したATLライブラリは、修正パッチ「MS09-035」に含まれている。Visual C++（を含むVisual Studio）がインストールされたPCで修正パッチを適用し、開発したActiveXコンポーネントなどを再コンパイルするすることで、開発したコンポーネントを脆弱性のないものにすることができる。

　なお、この脆弱性が作成したコンポーネントに影響を及ぼしているかどうかの判断は、マイクロソフトが、英文のみではあるが「Active Template Library Security Update for Developers」というフローチャートで解説しているので、これを元に判断することになる。

作成したコンポーネントに脆弱性があるかどうかを判断するためのフローチャート

●ATLの脆弱性による攻撃を未然に防ぐ「MS09-034」

　今回のATLの脆弱性を利用した攻撃のパターンとして考えられるのは、脆弱なATLによって開発されたActiveXコントロールをWebに貼り付けて置く手法だ。このサイトを表示したユーザーのPCで悪意のプログラムを走らせ、PCを乗っ取ることが可能となる。

　修正パッチ「MS09-034」は、こうした脆弱性のあるATLを使用して作成したActiveXコンポーネントやOLEコントロールが、IEで悪用されるのを防ぐための緩和策を含んでいる。

　開発者に対しては、新しいATLを使って脆弱性を解消することを呼びかけることが必要だが、悪意のユーザーが古いATLを使って攻撃コードを作成する可能性がある以上、ActiveXを使う側のInternet Explorer側にも対策が必要になるわけだ。

　このIEのパッチは、対策としてActiveXの動作を監視することにより、今回の脆弱性が悪用されることを阻止するというものだ。MS09-034を適用することで多くのユーザーは、ATLの脆弱性がWebからの参照時に悪用されることを防ぐことができるという。