• [アーティクル]

セキュリティ アドバイザリ

Microsoft セキュリティ アドバイザリ 973882

Microsoft Active Template Library (ATL) の脆弱性により、リモートでコードが実行される

公開日: 2009 年 7 月 28 日 |更新日: 2009 年 10 月 13 日

バージョン: 4.0

Microsoft はこのセキュリティ アドバイザリをリリースし、Microsoft の Active Template Library (ATL) のパブリックおよびプライベート バージョンの脆弱性に関する継続的な調査に関する情報を提供しています。 このアドバイザリでは、開発者が構築したコントロールとコンポーネントが ATL の問題に対して脆弱でないことを確認するために開発者ができることに関するガイダンスも提供します。IT プロフェッショナルとコンシューマーが脆弱性を使用する潜在的な攻撃を軽減するためにできること。このアドバイザリで説明されている問題に対する継続的な調査の一環として、Microsoft が行っていること。 このセキュリティ アドバイザリでは、ATL の脆弱性に関連するすべての Microsoft セキュリティ情報とセキュリティ更新の包括的な一覧も提供されます。 ATL のプライベート バージョンとパブリック バージョンに関する Microsoft の調査が進行中であり、調査プロセスの一環として、必要に応じてセキュリティ更新プログラムとガイダンスをリリースします。

Microsoft は、ATL のパブリック バージョンとプライベート バージョンのセキュリティの脆弱性を認識しています。 Microsoft ATL は、ソフトウェア開発者が Windows プラットフォーム用のコントロールまたはコンポーネントを作成するために使用します。 このセキュリティ アドバイザリおよび Microsoft セキュリティ情報 MS09-035 で説明されている脆弱性により、脆弱なバージョンの ATL を使用して構築されたコントロールとコンポーネントに対する情報漏えいまたはリモート コード実行攻撃が発生する可能性があります。 ATL の脆弱なバージョンで作成されたコンポーネントとコントロールは、ATL の使用方法や ATL コード自体の問題により、脆弱な状態にさらされる可能性があります。

開発者向けガイダンス: Microsoft は、ATL のパブリック ヘッダーの問題を修正し、MS09-035 のセキュリティ情報「Visual Studio Active Template Library の脆弱性により、リモート でコードが実行される可能性がある」のライブラリの更新プログラムをリリースしました。MICROSOFT では、ATL を使用してコントロールまたはコンポーネントを構築した開発者は、脆弱な状態にさらされたコントロールを直ちに評価し、提供されているガイダンスに従って、脆弱ではないコントロールとコンポーネントを作成することを強くお勧めします。 ATL の問題に対処するための脆弱性とガイダンスの詳細については、「 MS09-035」の「Visual Studio Active Template Library の脆弱性により、リモート でコードが実行される可能性があります」を参照してください。

IT プロフェッショナルおよびコンシューマー 向けガイダンス: 開発者がコンポーネントとコントロールを更新している間に顧客をより適切に保護するために、Microsoft は新しい多層防御テクノロジを開発しました。 インターネット エクスプローラーに組み込まれたこの新しい多層防御テクノロジは、このアドバイザリおよび Microsoft セキュリティ情報 MS09-035 で説明されている Microsoft Active Template Library の脆弱性を使用して、将来の攻撃からお客様を保護するのに役立ちます。 この新しい多層防御テクノロジの恩恵を受けるために、IT プロフェッショナルとコンシューマーは、Microsoft セキュリティ情報 MS09-034 「Cumulative Security Update for Internet エクスプローラー」で提供されているインターネット エクスプローラー セキュリティ更新プログラムを直ちに展開する必要があります。

このセキュリティ更新プログラムには、脆弱な ATL を使用して構築されたコンポーネントとコントロールがインターネット エクスプローラーで悪用されるのを防ぎ、関連のない複数の脆弱性に対処する軽減策が含まれています。 MS09-034 で提供される新しい多層防御保護には、インターネット エクスプローラー 5.01、インターネット エクスプローラー 6 およびインターネット エクスプローラー 6 Service Pack 1、インターネット エクスプローラー 7、インターネット エクスプローラー 8 の更新が含まれます。 これらの多層防御保護は、ActiveX のキル ビット セキュリティ機能をバイパスする可能性のある脆弱性を含め、すべての既知のパブリックおよびプライベート ATL 脆弱性の悪用を監視し、回避するのに役立ちます。 これらの保護は、Web ベースの攻撃からお客様を保護するために設計されています。

ホーム ユーザー ガイダンス: 開発者がコンポーネントとコントロールを更新している間に顧客をより適切に保護するために、Microsoft は新しい多層防御テクノロジを開発しました。 この新しい更新プログラムでインターネット エクスプローラーに組み込まれたこの新しい多層防御テクノロジは、このアドバイザリおよび Microsoft セキュリティ情報 MS09-035 で説明されている Microsoft Active Template Library の脆弱性を使用して、将来の攻撃からお客様を保護するのに役立ちます。 自動更新にサインアップしたホーム ユーザーは、新しいインターネット エクスプローラー更新プログラムを自動的に受け取り、それ以上のアクションを実行する必要はありません。 ホーム ユーザーは、このセキュリティ アドバイザリおよび Microsoft セキュリティ情報 MS09-035 で対処されている脆弱性に対する将来の攻撃から自動的により適切に保護されます。

Microsoft の Active Template Library (ATL) の脆弱なバージョンを使用して構築されたコントロールとコンポーネントの軽減要因:

  • 既定では、ほとんどの ActiveX コントロールは、Windows Vista 以降のオペレーティング システムで実行されているインターネット エクスプローラー 7 またはインターネット エクスプローラー 8 の ActiveX コントロールの既定の許可リストには含まれません。 ActiveX オプトイン機能を使用して脆弱なコントロールを明示的に承認したお客様のみが、この脆弱性を悪用しようとするリスクがあります。 ただし、お客様が以前のバージョンのインターネット エクスプローラーでこのような ActiveX コントロールを使用し、その後インターネット エクスプローラー 7 またはインターネット エクスプローラー 8 にアップグレードした場合、これらの ActiveX コントロールはインターネット エクスプローラー 7 およびインターネット エクスプローラー8、お客様が ActiveX オプトイン機能を使用して明示的に承認していない場合でも。
  • 既定では、インターネット エクスプローラー 8 では、Windows XP Service Pack 3、Windows Vista Service Pack 1、Windows Vista Service Pack 2、Windows 7 でユーザーの DEP/NX メモリ保護を有効にすることで、強化された保護が提供されます。
  • 既定では、Windows Server 2003 および Windows Server 2008 のインターネット エクスプローラーは、セキュリティ強化構成と呼ばれる制限付きモードで実行されます。 セキュリティ強化構成は、ユーザーまたは管理者が特別に細工された Web コンテンツをサーバーにダウンロードして実行する可能性を減らすことができる、インターネット エクスプローラーの構成済み設定のグループです。 これは、インターネット エクスプローラー信頼済みサイト ゾーンに追加していない Web サイトの軽減要因です。 「インターネットエクスプローラーセキュリティ強化構成の管理」も参照してください
  • 既定では、サポートされているすべてのバージョンの Microsoft Outlook と Microsoft Outlook Express は、制限付きサイト ゾーンで HTML 電子メール メッセージを開きます。 制限付きサイト ゾーンは、HTML 電子メール メッセージの読み取り時に Active Scripting および ActiveX コントロールが使用されないようにすることで、この脆弱性を悪用しようとする可能性のある攻撃を軽減するのに役立ちます。 ただし、ユーザーが電子メール メッセージ内のリンクをクリックしても、Web ベースの攻撃シナリオを通じてこの脆弱性が悪用される可能性があります。
  • Web ベースの攻撃シナリオでは、攻撃者がこの脆弱性の悪用に使用される Web ページを含む Web サイトをホストする可能性があります。 さらに、ユーザーが提供するコンテンツまたは広告を受け入れる、またはホストする侵害された Web サイトや Web サイトには、この脆弱性を悪用する可能性のある特別に細工されたコンテンツが含まれる可能性があります。 ただし、いずれの場合も、攻撃者はユーザーにこれらの Web サイトへのアクセスを強制する方法はありません。 代わりに、攻撃者は、通常、ユーザーを攻撃者の Web サイトに誘導する電子メール メッセージまたはインスタント メッセンジャー メッセージ内のリンクをクリックするようにユーザーに誘導する必要があります。
  • 攻撃者がこの脆弱性を悪用した場合、ローカル ユーザーと同じユーザー権限を取得する可能性があります。 システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。

ATL に関連する更新:

2009 年 10 月 13 日にリリースされた更新プログラム

  • Microsoft セキュリティ情報 MS09-060「Microsoft Active Template Library (ATL) ActiveX Controls for Microsoft Office の脆弱性により、リモートでコードが実行される可能性があります」では、このアドバイザリで説明されている ATL の脆弱性の影響を受ける Microsoft Office コンポーネントがサポートされます。

更新 2009 年 8 月 25 日リリース

  • Windows Live Messenger 14.0.8089 は、このアドバイザリで説明されている ATL の脆弱性に関連する Windows Live Messenger クライアントの脆弱性に対処するためにリリースされています。
  • このアドバイザリには、Windows Live Hotmail の "写真の添付" 機能の削除を伝え、Windows Live Messenger 14.0.8089 リリースの詳細を提供するために、Windows Live コンポーネントに関してよく寄せられる質問セクションが追加されました。

更新 2009 年 8 月 11 日にリリースされました

  • Microsoft セキュリティ情報 MS09-037「Microsoft Active Template Library (ATL) の脆弱性により、リモート でコードが実行される可能性があります」では、このアドバイザリで説明されている ATL の脆弱性の影響を受ける Windows コンポーネントがサポートされます。
  • Microsoft セキュリティ情報 MS09-035「Visual Studio Active Template Library の脆弱性によりリモート でコードが実行される可能性がある」が再リリースされ、Visual Studio を使用して、スマート デバイス用 ATL を使用してモバイル アプリケーションのコンポーネントとコントロールを作成する開発者向けの新しい更新プログラムが提供されます。

更新 2009 年 7 月 28 日リリース

  • Microsoft セキュリティ情報 MS09-035「Visual Studio Active Template Library の脆弱性により、リモート でコードが実行される可能性があります」では、ATL の特定の脆弱性についてさらに詳しく説明し、更新されたコンポーネントとコントロールを開発するためにベンダー向けに更新されたパブリック ATL ヘッダーを提供します。 Microsoft の調査では、この問題の影響を受ける Microsoft およびサード パーティ製のコンポーネントとコントロールがあり、これらのコンポーネントとコントロールが、Windows 2000 Service Pack 4、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008 のすべてのサポートされているエディションに存在することが示されています。 コントロールまたはコンポーネントを構築するときに、脆弱なバージョンの ATL を使用した開発者は、このセキュリティ情報を確認し、コントロールが脆弱な場合は直ちに対処する必要があります。
  • Microsoft セキュリティ情報 MS09-034「インターネット エクスプローラーの累積的なセキュリティ更新プログラム」には、脆弱な ATL を使用して構築されたコンポーネントとコントロールがインターネット エクスプローラーで悪用されるのを防ぎ、関連のない複数の脆弱性に対処する軽減策が含まれています。 MS09-034 で提供される新しい多層防御には、インターネット エクスプローラー 5.01、インターネット エクスプローラー 6、インターネット エクスプローラー 6 Service Pack 1、インターネット エクスプローラー 7、インターネット エクスプローラー 8 の更新が含まれます。 これらの多層防御保護は、ActiveX のキル ビット セキュリティ機能をバイパスする可能性のある脆弱性を含め、すべての既知のパブリックおよびプライベート ATL 脆弱性の悪用を監視し、回避するのに役立ちます。 これらの保護は、Web ベースの攻撃からお客様を保護するために設計されています。
  • インターネット エクスプローラーを介して攻撃を成功させる Windows 7 に含まれる方法や制御は認識されていません。

2009 年 7 月 14 日にリリースされた更新プログラム

  • Microsoft セキュリティ情報 MS09-032「ActiveX Kill Bits の累積的なセキュリティ更新プログラム」では、msvidctl コントロールがインターネット エクスプローラーで実行されることを妨げる ActiveX セキュリティ対策 (強制終了ビット) が提供されました。 msvidcntl の悪用は、ATL のプライベート バージョンの脆弱性を利用しました。 この特定のインスタンスでは、この脆弱性により、攻撃者がメモリを破損し、リモートでコードが実行される可能性があります。 msvidctl (MS09-032) の 6 月リリースで発行されたキル ビットは、ここで説明するように一般の悪用をブロックします。

一般情報

概要

アドバイザリの目的: このアドバイザリは、公開された脆弱性の初期通知を顧客に提供するためにリリースされました。 詳細については、このセキュリティ アドバイザリの「回避策」、「軽減要因」、および「推奨されるアクション」セクションを参照してください。

アドバイザリの状態: アドバイザリが公開されました。

推奨事項: 推奨されるアクションを確認し、必要に応じて構成します。

リファレンス [識別]
CVE リファレンス CVE-2009-0901 CVE-2009-2493\ CVE-2009-2495\ CVE-2008-0015\
セキュリティ情報 MS09-035、"Visual Studio Active Template Library の脆弱性により、リモート でコードが実行される可能性がある"\ \ MS09-034、"インターネット エクスプローラーの累積的なセキュリティ更新プログラム"\\MS09-032、"ActiveX Kill Bits の累積的なセキュリティ更新プログラム"
Microsoft サポート技術情報の記事 MS09-035:\ Microsoft サポート技術情報 969706\ \ MS09-034:\ Microsoft サポート技術情報 972260\ \ MS09-032:\ Microsoft サポート技術情報の記事 973346

このアドバイザリでは、次のソフトウェアについて説明します。

影響を受けるソフトウェア
Microsoft Windows
脆弱な Active Template Library を使用して作成されたコントロールとコンポーネント
Microsoft Live サービス
Windows Live Messenger (14.0.8089 未満のバージョン)
Windows Live Hotmail の "写真の添付" 機能

よく寄せられる質問

アドバイザリの範囲は何ですか?
Microsoft は、Active Template Library (ATL) のパブリック バージョンとプライベート バージョンを使用して構築されたコンポーネントとコントロールに影響する脆弱性を認識しています。 このアドバイザリは、脆弱なコントロールとコンポーネントのリスクを軽減するのに役立つ更新プログラムをユーザーに認識させ、脆弱な ATL を使用してコントロールとコンポーネントを構築した開発者にガイダンスと指示を提供し、IT プロフェッショナルに対して環境の軽減策を保護およびインストールする方法について説明することを目的としています。

Microsoft は今後、このセキュリティ アドバイザリに関連する追加のセキュリティ更新プログラムをリリースしますか?
ATL のプライベート ヘッダーとパブリック ヘッダーに関する Microsoft の調査が進行中であり、調査プロセスの一環として、必要に応じてセキュリティ更新プログラムとガイダンスをリリースします。

msvidctl の脆弱性 (MS09-032) は、この ATL 更新プログラムに関連していましたか?
はい。msvidctl の悪用は、ATL のプライベート バージョンの脆弱性を利用しました。 この特定のインスタンスでは、この脆弱性により、攻撃者がメモリを破損し、リモートでコードが実行される可能性があります。 以前 7 月 14 日リリースで発行された MS09-032 は、msvidctl に対する既知の攻撃をブロックします。 msvidctl の悪用の詳細については、次を参照してください https://blogs.technet.com/srd/archive/2009/07/06/new-vulnerability-in-mpeg2tunerequest-activex-control-object-in-msvidctl-dll.aspx

インターネット エクスプローラー更新プログラム (ms09-034) も msvidctl 攻撃から保護されますか?
はい。インターネット エクスプローラー軽減策は、msvidctl 攻撃を含む、パブリックバージョンとプライベート バージョンの ATL における既知の脆弱性の悪用から保護されます。

ATL とは
Active Template Library (ATL) は、小規模で高速なコンポーネント オブジェクト モデル (COM) オブジェクトを作成できるテンプレート ベースの C++ クラスのセットです。 ATL には、ストック実装、デュアル インターフェイス、標準 COM 列挙子インターフェイス、接続ポイント、ティアオフ インターフェイス、ActiveX コントロールなど、主要な COM 機能が特別にサポートされています。 詳細については、MSDN の記事 ATL を参照してください。

ATL でこの脅威の原因は何ですか?
この問題は、ATL の使用方法によって発生する場合もあれば、ATL コード自体によって発生する場合もあります。 このような場合、データ ストリームが正しく処理されず、セキュリティ ポリシーに関係なく、メモリの破損、情報漏えい、オブジェクトのインスタンス化につながる可能性があります。 ATL で対処される脆弱性の詳細については、「 MS09-035」の「Visual Studio Active Template Library の脆弱性により、リモート でコードが実行される可能性があります」を参照してください。

Active Template Library のパブリック バージョンとプライベート バージョンの違いは何ですか?
Active Template Library のプライベート バージョンは、Microsoft 開発者がコントロールとコンポーネントを構築するために使用します。 Microsoft は、開発者が使用するすべてのバージョンの Active Template Library を更新しました。

Active Template Library のパブリック バージョンは、Microsoft Visual Studio などの開発者ツールを使用して顧客に配布されます。 Microsoft は、Microsoft セキュリティ情報 MS09-035 を通じて、パブリック ATL の更新バージョンを提供しています。

ATL のセキュリティの脆弱性では、Microsoft およびサード パーティの開発者がセキュリティ更新プログラムを発行する必要がありますか?
はい。 このアドバイザリで説明されているセキュリティ情報の更新プログラムに加えて、Microsoft は Microsoft のコントロールとコンポーネントの包括的な調査を行っています。 この調査が完了すると、Microsoft はお客様の保護に役立つ適切なアクションを実行します。 これには、お客様のニーズに応じて、毎月のリリース プロセスによるセキュリティ更新プログラムの提供や帯域外のセキュリティ更新プログラムの提供が含まれる場合があります。

Microsoft はガイダンスも提供しており、主要なサード パーティの開発者に積極的に連絡して、脆弱なコントロールとコンポーネントの特定を支援しています。 これにより、サード パーティのコントロールとコンポーネントのセキュリティ更新プログラムが発生する可能性があります。

Windows Live サービスについてよく寄せられる質問

Windows Live Messenger へのアップグレードはどのように配布されますか?
Windows Live Messenger サービスにサインオンすると、サポートされているリリースの Windows Live Messenger 8.1、Windows Live Messenger 8.5、および Windows Live Messenger 14.0 のユーザーは、Windows Live Messenger サービスのクライアント展開メカニズムによって、Windows Live Messenger 14.0.8089 へのアップグレードを受け入れるように求められます。 また、Windows Live Messenger 14.0.8089 へのアップグレードをすぐにダウンロードしたいユーザーは、Windows Live ダウンロード センター使用してダウンロードできます。 それ以外の場合、Windows Live Messenger クライアントの脆弱なバージョンのユーザーは、Windows Live Messenger サービスへの接続を許可されない可能性があります。

Microsoft が Windows Live Messenger サービスを介して Windows Live Messenger へのアップグレードをリリースし、ダウンロードを提供するのはなぜですか?
Microsoft は現在、Windows Live Messenger サービスを使用して Windows Live Messenger クライアントのアップグレードを発行しています。これらのオンライン サービスには独自のクライアント展開メカニズムがあるためです。 ただし、Microsoft ダウンロード センターのリンクは、特定の Windows Live Messenger クライアントでも使用できます。 アップグレードをすぐにダウンロードするユーザーは、Windows Live ダウンロード センターダウンロードできます。

これがアップグレードの場合、Windows Live Messenger の脆弱なバージョンがあるかどうかを検出するにはどうすればよいですか?
Windows Live Messenger サービスにサインオンしようとすると、クライアント展開メカニズムによって現在のクライアントのバージョンとプラットフォームが自動的に決定され、必要に応じて適切なアップグレードが推奨されます。 また、[ヘルプ] をクリックし、[バージョン情報] をクリックして、Windows Live Messenger クライアントのバージョンを確認することもできます。

最新バージョンの Windows Live Messenger にアップグレードしないとどうなりますか?
影響を受けなかったバージョンの Windows Live Messenger クライアントにアップグレードしない場合は、プラットフォームに応じて、サインオンの試行ごとにアップグレードが通知されます。 アップグレードに同意しない場合は、Windows Live Messenger サービスへのアクセスが許可されない可能性があります。

Windows Messenger や Office Communicator などの他の Microsoft リアルタイム コラボレーション アプリケーションは、この脆弱性の影響を受けていますか?
いいえ。 他のメッセージング アプリケーションには脆弱なコンポーネントが含まれていないため、影響を受けません。

Microsoft が Windows Live Hotmail の "写真の添付" 機能を削除したのはいつですか? それは別の新機能の立ち上げと一致しましたか?
Microsoft は最近、この問題を解決するために、この機能を短期的に削除することを決定しました。 この機能の一時的な削除は、別の機能の起動と一致しませんでした。

すべてのWindows Live Hotmailユーザーに完全に復元される「写真の添付」機能の最新の時刻表は何ですか?
Microsoft では、問題の修正に積極的に取り組んでいます。 それまでは、[添付] をクリックして含める画像を選択することで、Hotmail メッセージに添付ファイルとして画像を追加できます。

Visual Studio Update について開発者からよく寄せられる質問

ATL でこの脅威の原因は何ですか?
この問題は、ATL の使用方法によって発生する場合もあれば、ATL コード自体によって発生する場合もあります。 このような場合、データ ストリームが正しく処理されず、セキュリティ ポリシーに関係なく、メモリの破損、情報漏えい、オブジェクトのインスタンス化につながる可能性があります。 ATL で対処される脆弱性の詳細については、「 MS09-035」の「Visual Studio Active Template Library の脆弱性により、リモート でコードが実行される可能性があります」を参照してください。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?
ATL を使用して構築されたコントロールとコンポーネントの場合、特定のマクロを安全に使用しない場合、インターネット エクスプローラー内で関連する ActiveX セキュリティ ポリシー (つまりキル ビット) をバイパスできる任意のオブジェクトをインスタンス化できます。 さらに、脆弱なバージョンの ATL を使用して構築されたコンポーネントとコントロールは、リモートコード実行や情報漏えいの脅威に対して脆弱である可能性があります。 ユーザーが管理者権限でログオンしていて、そのユーザーのシステムに対して脆弱な制御権を持っている場合、攻撃者は影響を受けるシステムを完全に制御する可能性があります。 このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。 システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。

私はサードパーティのアプリケーション開発者であり、コンポーネントまたはコントロールでATLを使用しています。 コンポーネントまたはコントロールは脆弱であり、その場合は更新方法を教えてください。
コンポーネントまたはコントロールの構築中に特定の条件が満たされた場合、コンポーネントとコントロールがこの問題の影響を受ける可能性があります。 MS09-035 には、サード パーティの開発者が脆弱なコンポーネントとコントロールを検出して修正するために使用できる追加情報、例、ガイダンスが含まれています。

Security Update for Visual Studio の機能
これらの更新プログラムは、リモートの認証されていないユーザーが影響を受けるシステムで任意のコードを実行できるようにする可能性がある Microsoft Active Template Library (ATL) の脆弱性に対処します。 これらの脆弱性は、ATL の使用方法が原因で発生する場合もあれば、ATL コード自体によって引き起こされる場合もあります。 これらの脆弱性は ATL に影響を与えるので、ATL を使用して開発されたコンポーネントまたはコントロールは、影響を受けるコントロールとコンポーネントを使用するお客様をリモート コード実行シナリオに公開する可能性があります。

Visual Studio のセキュリティ更新プログラムは、Visual Studio で使用される ATL の脆弱なバージョンを更新します。 これにより、Visual Studio ユーザーは、更新されたバージョンの ATL を使用して、コントロールとコンポーネントを変更および再作成できます。

Microsoft の調査では、Microsoft とサード パーティの両方のコンポーネントとコントロールがこの問題の影響を受ける可能性があることが示されています。 そのため、影響を受けるすべてのベンダーは、Microsoft セキュリティ情報 MS09-035 で提供されている修正された ATL を使用して、コンポーネントとコントロールを変更し、再構築する必要があります。

IT プロフェッショナルからよく寄せられる質問 (自分を保護するために何ができるか)

IE 更新プログラム MS09-034 は、脆弱なバージョンの ATL 上に構築されたすべてのコンポーネントとコントロールから保護されますか?
開発者がコンポーネントとコントロールを更新している間の顧客の保護を強化するために、Microsoft は新しい多層防御テクノロジを開発しました。 インターネット エクスプローラーに組み込まれたこの新しい多層防御テクノロジは、このアドバイザリおよび Microsoft セキュリティ情報 MS09-035 で説明されている Microsoft Active Template Library の脆弱性を使用して、将来の攻撃からお客様を保護するのに役立ちます。 Microsoft セキュリティ情報 MS09-034「インターネット エクスプローラーの累積的なセキュリティ更新プログラム」には、脆弱な ATL を使用して構築されたコンポーネントとコントロールがインターネット エクスプローラーで悪用されるのを防ぎ、関連のない複数の脆弱性に対処する軽減策が含まれています。

Microsoft は引き続きすべての Microsoft コントロールとコンポーネントを調査し、サード パーティの開発者がコントロールとコンポーネントを評価できるように支援しています。

IT プロフェッショナルは、この問題への露出を軽減するためにどのようなアクションを実行できますか?
Microsoft では、IT プロフェッショナルが、Microsoft セキュリティ情報 MS09-034 の「インターネット エクスプローラーの累積的なセキュリティ更新プログラム」で提供されているインターネット エクスプローラー セキュリティ更新プログラムを直ちに展開することを強くお勧めします。

コンシューマーが自分自身を保護するためにできることについてよく寄せられる質問

コンシューマーは、この問題への露出を軽減するためにどのようなアクションを実行できますか?
開発者がコンポーネントとコントロールを更新している間の顧客の保護を強化するために、Microsoft は新しい多層防御テクノロジを開発しました。 インターネット エクスプローラーに組み込まれたこの新しい多層防御テクノロジは、このアドバイザリおよび Microsoft セキュリティ情報 MS09-035 で説明されている Microsoft Active Template Library の脆弱性を使用して、将来の攻撃からお客様を保護するのに役立ちます。 Microsoft では、コンシューマーが自動更新を有効にして、Microsoft セキュリティ情報 MS09-034 の「インターネット エクスプローラーの累積的なセキュリティ更新プログラム」で提供されているインターネット エクスプローラー セキュリティ更新プログラムを直ちに展開することを強くお勧めします。更新プログラムを自動的に受け取るホーム ユーザーは、累積的な IE 更新プログラムおよびこの問題に関連するその他のセキュリティ更新プログラムで提供される軽減策を受け取り、それ以上のアクションを実行する必要はありません。

また、Microsoft では、ホーム ユーザーに対して、強化されたセキュリティと保護の恩恵を受けるために、インターネット エクスプローラー 8 にアップグレードすることも推奨しています。

インターネット エクスプローラー Update の軽減策に関してよく寄せられる質問

ActiveX セキュリティのバイパスを許可するこの脅威の原因は何ですか?
脆弱な ATL メソッドを使用して構築された ActiveX コントロールでは、情報が正しく検証されない場合があります。 これにより、メモリの破損を許容する ActiveX コントロールが発生したり、攻撃者が信頼された ActiveX コントロールを利用して、以前にインターネット エクスプローラーでの実行がブロックされていた信頼されていない ActiveX コントロールを読み込んだりする可能性があります。

MS09-034 で提供される新しい多層防御には、インターネット エクスプローラー 5.01、インターネット エクスプローラー 6 およびインターネット エクスプローラー 6 Service Pack 1、インターネット エクスプローラー 7、インターネット エクスプローラーの更新が含まれます。8、IE キル ビットセキュリティ機能をバイパスする可能性のある脆弱性を含む、すべての既知のパブリックおよびプライベート ATL 脆弱性の悪用を監視し、防止します。 これらの保護は、Web ベースの攻撃からお客様を保護するように設計されています。

攻撃者はこの関数を使用して何を行う可能性がありますか?
Windows Vista または Windows 2008 でこの脆弱性を悪用した攻撃者は、インターネット エクスプローラーの保護モードにより、制限付きユーザーとしてのみ権限を取得します。 他の Windows システムでは、攻撃者はローカル ユーザーと同じユーザー権限を取得する可能性があります。 システム上でアカウントのユーザー権限が少なく構成されているユーザーは、管理ユーザー権限で作業するユーザーに比べて、受ける影響は少ない可能性があります。

攻撃者はこの関数をどのように使用できますか?
攻撃者は、特別に細工された ActiveX コントロールをホストするように設計された Web サイトをホストし、ユーザーに Web サイトを表示するよう誘導する可能性があります。 これには、ユーザーが提供するコンテンツや広告を受け入れる、またはホストする、侵害された Web サイトや Web サイトも含まれます。 ただし、いずれの場合も、攻撃者はユーザーにこれらの Web サイトへのアクセスを強制する方法はありません。 代わりに、攻撃者は、通常、ユーザーに電子メール メッセージまたは攻撃者の Web サイトにユーザーを誘導するインスタント メッセンジャー要求のリンクをクリックするようにユーザーに誘導する必要があります。

キル ビットとは
Microsoft Internet エクスプローラー のセキュリティ機能により、インターネット エクスプローラー HTML レンダリング エンジンによって ActiveX コントロールが読み込まれないようにできます。 これは、レジストリ設定を行うことによって行われ、"強制終了ビットの設定" と呼ばれます。強制終了ビットが設定された後、コントロールが完全にインストールされている場合でも、コントロールを読み込むことはありません。 キルビットを設定すると、脆弱なコンポーネントが導入された場合やシステムに再導入された場合でもメイン不活性で無害になります。

キル ビットの詳細については、「Microsoft サポート技術情報の記事 240797: インターネット エクスプローラーで ActiveX コントロールの実行を停止する方法」を参照してください。 キル ビットとそのインターネット内での機能の詳細については、次のセキュリティ調査と防御のブログ記事を参照エクスプローラー。

更新プログラムは何を行いますか?
この更新プログラムは、特定の構成で脆弱な ATL ヘッダーを使用して ActiveX コントロールによって安全でないメソッドが使用される場合の検証を提供することで、ActiveX セキュリティ メカニズムを強化します。

この更新プログラムは機能を変更しますか?
はい。 この更新プログラムでは、インターネット エクスプローラー内で特定の ATL メソッドのセットを実行できなくなりました。 この更新プログラムは、信頼された ActiveX コントロールが信頼されていないコントロールを読み込むのを防ぐことで、アクティブなセキュリティをバイパスするリスクを軽減します

この更新プログラムには、追加のソフトウェア変更が含まれていますか?
はい。 この更新プログラムには、インターネット エクスプローラーの累積的な更新プログラムの一部として、インターネット エクスプローラーに対する追加のセキュリティ修正プログラムやその他の更新プログラムも含まれています。

この更新プログラムは、すべての安全でない ActiveX 制御シナリオに対処しますか?
いいえ。 この更新プログラムは、インターネットを閲覧するときにユーザーを攻撃から保護するために、このアドバイザリで説明されている ATL の問題に対して脆弱な可能性がある安全でない/信頼されていない ActiveX コントロールに特に対処します。

Microsoft は引き続きこの問題を調査しています。 この調査が完了すると、Microsoft はお客様の保護に役立つ適切なアクションを実行します。 これには、お客様のニーズに応じて、毎月のリリース プロセスによるセキュリティ更新プログラムの提供や帯域外のセキュリティ更新プログラムの提供が含まれる場合があります。

Windows Vista 以降のインターネット エクスプローラー 7 およびインターネット エクスプローラー 8 の保護モードは、この脆弱性からどのように保護されますか?
Windows Vista 以降のオペレーティング システムのインターネット エクスプローラー 7 およびインターネット エクスプローラー 8 は、インターネット セキュリティ ゾーンで既定で保護モードで実行されます。 保護モードにより、攻撃者がユーザーのコンピューター上のデータを書き込み、変更、または破棄したり、悪意のあるコードをインストールしたりする能力が大幅に低下します。 これは、Windows Vista 以降の整合性メカニズムを使用して実現されます。これにより、整合性レベルが高いプロセス、ファイル、レジストリ キーへのアクセスが制限されます。

データ実行防止 (DEP) とは
インターネット エクスプローラー 8 では、データ実行防止 (DEP) が既定で有効になっています。 DEP は、実行可能でないとマークされているメモリ内でコードが実行されないようにすることで、攻撃を防ぐのに役立ちます。 インターネット エクスプローラーの DEP の詳細については、次の投稿https://blogs.msdn.com/ie/archive/2008/04/08/ie8-security-part-I_3A00_-dep-nx-memory-protection.aspxを参照してください。

推奨されるアクション

  • このアドバイザリに関連付けられている Microsoft サポート技術情報の記事を確認する

    ATL の問題の詳細については、マイクロソフト サポート技術情報の記事973882を参照してください。

  • セキュリティ情報 MS09-034 および MS09-035 に関連付けられている更新プログラムを適用する

    影響を受けるシステムをお持ちのお客様は、マイクロソフト サポート技術情報の記事 969706 および Microsoft サポート技術情報 972260 から更新プログラムをダウンロードできます。 インターネット エクスプローラー更新プログラムは、インターネット エクスプローラー 7 および 8 内の脆弱な ActiveX コントロールのインスタンス化を防ぐ新しい軽減策を提供します。 Visual Studio の更新プログラムを使用すると、開発者はこれらの脆弱性の影響を受けないように ActiveX コントロールを作成できます。

  • PC を保護する

    ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft のコンピューター保護ガイダンスに従うことをお客様に引き続きお勧めします。 これらの手順の詳細については、「コンピューターの保護」を参照してください。

  • インターネット上の安全を維持する方法の詳細については、Microsoft Security Central を参照してください。

  • Windows を更新したままにする

    すべての Windows ユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Windows Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新が有効になっている場合、更新プログラムはリリース時に配信されますが、必ずインストールする必要があります。

対処方法

Microsoft では、次の回避策をテストしました。 これらの回避策では、基になる脆弱性は修正されませんが、既知の攻撃ベクトルをブロックするのに役立ちます。 回避策によって機能が低下する場合は、次のセクションで確認できます。

これらのゾーンで ActiveX コントロールと Active Scripting を実行する前にプロンプトを表示するには、インターネットとローカルイントラネットのセキュリティ ゾーンの設定を "高" に設定します

ActiveX コントロールと Active Scripting を実行する前に、インターネット セキュリティ ゾーンの設定を変更してプロンプトを表示することで、この脆弱性から保護できます。 これを行うには、ブラウザーのセキュリティを [高] に 設定します。

Microsoft Internet エクスプローラー で閲覧セキュリティ レベルを上げるには、次の手順に従います。

  1. [インターネット エクスプローラー ツール] メニューの [インターネット オプション] をクリックします
  2. [インターネット オプション] ダイアログ ボックスで、[セキュリティ] タブをクリックし、[インターネット] アイコンをクリックします。
  3. このゾーンの [セキュリティ レベル] で、スライダーを [高] に移動します。 これにより、アクセスするすべての Web サイトのセキュリティ レベルが [高] に設定されます。

注: スライダーが表示されない場合は、[既定のレベル] をクリックし、スライダーを [高] に移動します

注: レベルを [高]設定すると、一部の Web サイトが正しく動作しない可能性があります。 この設定を変更した後に Web サイトの使用が困難で、サイトが安全に使用できる場合は、そのサイトを信頼済みサイトの一覧に追加できます。 これにより、セキュリティ設定が [高] に設定されている場合でも、サイトが正しく動作できるようになります

回避策の影響: ActiveX コントロールと Active Scripting を実行する前に、プロンプトに副作用があります。 インターネットまたはイントラネット上にある多くの Web サイトでは、ActiveX または Active Scripting を使用して追加機能を提供しています。 たとえば、オンライン e コマース サイトや銀行サイトでは、ActiveX コントロールを使用して、メニュー、注文フォーム、または口座明細書を提供できます。 ActiveX コントロールまたは Active Scripting を実行する前にプロンプトを表示することは、すべてのインターネットおよびイントラネット サイトに影響を与えるグローバル設定です。 この回避策を有効にすると、頻繁にメッセージが表示されます。 プロンプトごとに、アクセスしているサイトが信頼できる場合は、[はい] をクリックして ActiveX コントロールまたは Active Scripting を実行します。 これらのサイトすべてに対してプロンプトを表示しない場合は、「信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加する」で説明されている手順を使用します。

信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加する

インターネット エクスプローラーを設定して、インターネット ゾーンとローカル イントラネット ゾーンで ActiveX コントロールと Active Scripting を実行する前にプロンプトを要求した後、信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加できます。 これにより、信頼されていないサイトに対するこの攻撃からユーザーを保護しながら、現在とまったく同じように信頼された Web サイトを引き続き使用できます。 信頼できるサイトのみを信頼済みサイト ゾーンに追加することをお勧めします。

これを行うには、次の手順に従います。

  1. インターネット エクスプローラーで、[ツール] をクリックし、[インターネット オプション] をクリックし、[セキュリティ] タブをクリックします。
  2. [Web コンテンツ ゾーンを選択して現在のセキュリティ設定を指定する] ボックスで、[信頼済みサイト] をクリックし、[サイト] をクリックします
  3. 暗号化されたチャネルを必要としないサイトを追加する場合は、このゾーンのすべてのサイトの [サーバー検証を要求する (https:)] ボックスをクリックしてオフチェック。
  4. [この Web サイトをゾーンに追加する] ボックスに、信頼できるサイトの URL を入力し、[追加] をクリックします
  5. ゾーンに追加するサイトごとに、これらの手順を繰り返します。
  6. [OK] を 2 回クリックして変更を受け入れ、インターネット エクスプローラーに戻ります。

注: コンピューターで悪意のあるアクションを実行しないように信頼できるサイトを追加します。 具体的には、*.windowsupdate.microsoft.com と *.update.microsoft.com の 2 つを追加できます。 これらは更新プログラムをホストするサイトであり、更新プログラムをインストールするには ActiveX コントロールが必要です。

アクティブ スクリプトを実行する前にプロンプトを表示するか、インターネットとローカル イントラネットのセキュリティ ゾーンでアクティブ スクリプトを無効にするようにインターネット エクスプローラーを構成する

この脆弱性から保護するには、インターネットエクスプローラー設定を変更して、Active Scripting を実行する前にプロンプトを表示するか、インターネットとローカル イントラネットのセキュリティ ゾーンでアクティブ スクリプトを無効にします。 これを行うには、次の手順を実行します。

  1. [インターネット エクスプローラー] の [ツール] メニューの [インターネット オプション] をクリックします
  2. [セキュリティ] タブをクリックします。
  3. [インターネット] をクリックし、[カスタム レベル] をクリックします
  4. 設定の [スクリプト] セクションの [アクティブなスクリプト] で、[プロンプト] または [無効] をクリックし、[OK] をクリックします
  5. [ローカル イントラネット] をクリックし、[カスタム レベル] をクリックします
  6. 設定の [スクリプト] セクションの [アクティブなスクリプト] で、[プロンプト] または [無効] をクリックし、[OK] をクリックします
  7. [OK] を 2 回クリックして、インターネット エクスプローラーに戻ります。

注: インターネットとローカル イントラネットのセキュリティ ゾーンでアクティブなスクリプトを無効にすると、一部の Web サイトが正しく動作しない可能性があります。 この設定を変更した後に Web サイトの使用が困難で、サイトが安全に使用できる場合は、そのサイトを信頼済みサイトの一覧に追加できます。 これにより、サイトが正常に動作できるようになります。

回避策の影響: アクティブ なスクリプトを実行する前にプロンプトに副作用があります。 インターネットまたはイントラネット上にある多くの Web サイトでは、アクティブ スクリプトを使用して追加の機能を提供しています。 たとえば、オンライン e コマース サイトや銀行サイトでは、アクティブ スクリプトを使用して、メニュー、注文フォーム、または口座明細書を提供できます。 Active Scripting を実行する前にプロンプトを表示することは、すべてのインターネットおよびイントラネット サイトに影響を与えるグローバル設定です。 この回避策を有効にすると、頻繁にメッセージが表示されます。 各プロンプトで、アクセスしているサイトが信頼できる場合は、[はい] をクリックしてアクティブ スクリプトを実行します。 これらのサイトすべてに対してプロンプトを表示しない場合は、「信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加する」で説明されている手順を使用します。

信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加する

インターネット エクスプローラーを設定して、インターネット ゾーンとローカル イントラネット ゾーンで ActiveX コントロールと Active Scripting を実行する前にプロンプトを要求した後、信頼できるサイトをインターネット エクスプローラー信頼済みサイト ゾーンに追加できます。 これにより、信頼されていないサイトに対するこの攻撃からユーザーを保護しながら、現在とまったく同じように信頼された Web サイトを引き続き使用できます。 信頼できるサイトのみを信頼済みサイト ゾーンに追加することをお勧めします。

これを行うには、次の手順に従います。

  1. インターネット エクスプローラーで、[ツール] をクリックし、[インターネット オプション] をクリックし、[セキュリティ] タブをクリックします。
  2. [Web コンテンツ ゾーンを選択して現在のセキュリティ設定を指定する] ボックスで、[信頼済みサイト] をクリックし、[サイト] をクリックします
  3. 暗号化されたチャネルを必要としないサイトを追加する場合は、このゾーンのすべてのサイトの [サーバー検証を要求する (https:)] ボックスをクリックしてオフチェック。
  4. [この Web サイトをゾーンに追加する] ボックスに、信頼できるサイトの URL を入力し、[追加] をクリックします
  5. ゾーンに追加するサイトごとに、これらの手順を繰り返します。
  6. [OK] を 2 回クリックして変更を受け入れ、インターネット エクスプローラーに戻ります。

注: コンピューターで悪意のあるアクションを実行しないように信頼できるサイトを追加します。 具体的には、*.windowsupdate.microsoft.com と *.update.microsoft.com の 2 つを追加できます。 これらは更新プログラムをホストするサイトであり、更新プログラムをインストールするには ActiveX コントロールが必要です。

その他の情報

リソース:

  • フォームに入力すると、Microsoft のヘルプとサポートにアクセスしてフィードバックを 提供できます。お問い合わせください
  • 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポート受けることができます。 使用可能なサポート オプションの詳細については、Microsoft のヘルプとサポートを参照してください
  • 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 国際サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポートを参照してください
  • Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責事項:

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン:

  • V1.0 (2009 年 7 月 28 日): アドバイザリが公開されました。
  • V2.0 (2009 年 8 月 11 日): Microsoft セキュリティ情報 MS09-037 のリリース、"Microsoft Active Template Library (ATL) の脆弱性によってリモート コード実行が許可される可能性がある"、および Microsoft セキュリティ情報 MS09-035 の再リリース、"Visual Studio アクティブ テンプレート ライブラリの脆弱性により、リモート コードの実行が可能になる可能性がある" を伝えるために、ATL に関連する更新にエントリを追加するように改訂されたアドバイザリ」 をクリックして、追加の更新プログラムを提供します。
  • V3.0 (2009 年 8 月 25 日): アドバイザリが改訂され、Windows Live Messenger 14.0.8089 リリースに関する詳細が提供され、Windows Live Hotmail の "写真の添付" 機能の削除が通知されました。
  • V4.0 (2009 年 10 月 13 日): アドバイザリが改訂され、MICROSOFT セキュリティ情報 MS09-060 のリリース「Microsoft Active Template Library (ATL) ActiveX Controls for Microsoft Office の脆弱性により、リモート でコードが実行される可能性があります」という、ATL セクションに関連する更新にエントリが追加されました。

ビルド日: 2014-04-18T13:49:36Z-07:00