サポート&サービス

Home > サポート&サービス > 各種情報 > セキュリティアドバイザリ

各種情報

製品の販売終了に関する情報と、製品および当サイトにおけるセキュリティ情報をお知らせしています。

セキュリティアドバイザリ

弊社製品に関連性のあるセキュリティ情報とその防御方法をお知らせしています。

ATL(Active Template Library)の脆弱性について

公開日 : 2009年8月31日(最終更新日 : 2009年8月31日)

概要

マイクロソフト社のセキュリティ情報「MS09-035」により、Visual StudioのATLにリモートでコードが実行される脆弱性が報告されています。調査の結果、ATLを使用している弊社のActiveX製品の中にもこの脆弱性の影響を受ける製品がありました。
セキュリティ情報MS09-035 (マイクロソフト社)

影響を受ける製品
  • DenpyoMan 1.5J
  • iNetMail 1.0J
  • iNetSuite 1.0J
  • iNetTransfer 1.0J
  • iNetWinsock 1.0J
  • InputMan Pro 7.0J
    ※ファンクションキーコントロールのみ(他のコントロールは影響を受けません)
  • VS-FlexGrid Pro 8.0J
  • VS-Resizer 6.0J
  • VS-VIEW 8.0J
詳細

この脆弱性を利用した攻撃(リモートでの任意のコード実行)が成功するには以下のすべての条件を満たすことが必要です。

  • この脆弱性を含んだActiveXコントロールがユーザーのコンピュータにインストール(登録)されている
  • 攻撃者がこのコントロールを対象とした悪意のあるWebページを作成する
  • 攻撃者が悪意のあるWebページにユーザーを誘導することに成功する
防御方法

マイクロソフト社からInternet Explorerのセキュリティ更新プログラム(972260)がリリースされています。
この更新プログラムにはこの脆弱性を利用した攻撃への対策が含まれていますので、必ずインストールするようにしてください。
Internet Explorerのセキュリティ更新プログラム(972260) (マイクロソフト社)

また、この脆弱性を利用した攻撃を防御するもうひとつの方法として、該当するActiveXコントロールをInternet Explorer上で実行できなくしてしまう方法があります。PowerToolsセキュリティ更新プログラム(2009年8月)は、この方法を利用してWebからの悪意のある攻撃を防ぎます。
参考リンク Internet Explorer で ActiveX コントロールの動作を停止する方法 (マイクロソフト社)


更新プログラムの利用方法

影響を受ける製品をインストールしてあるコンピュータ(開発環境および実行環境)上で更新プログラムをインストールします。弊社製品を使用して開発したお客様のアプリケーションの変更・再ビルド・再配布は不要です。

(注意) Internet Explorer上で該当製品を使用している場合は、この更新プログラムをインストールしないでください。Internet Explorer上で使用している場合の回避方法については「E-mailサポート」にてお問い合わせください。
E-mailサポート

更新プログラムのダウンロード

PowerToolsセキュリティ更新プログラム(2009年8月)

注意事項 / 修正内容

このページの先頭へ