Windowsを使っていると、脆弱性を修正するためのセキュリティ更新プログラム(パッチ)が度々公開されます。
頻繁なので面倒くさいとおっしゃる方も多いですが、大切なことなのでやはり確実に適用していただければと思います。
先日のパッチは、[MS09-035]Visual StudioのActive Template Libraryの脆弱性により、リモートでコードが実行されることの対策でした。
一見すると、Visual Studio っていうソフトの問題なのか?自分は使っていないから関係ないな、と考えてしまいそうです。
しかし実際はかなり深刻な問題です。
先ほどの内容は、Visual Studioに含まれるライブラリー「Active Template Library(以下ATL)」に脆弱性があることを示しています。
考えられるケースはいくつかありますが、一例としてATLで作成されたActiveXコントロールには脆弱性が存在する可能性があります。その場合、Webページに細工をすることで、ウイルスなどを勝手に実行させるといったことが可能になります。
開発ツールレベルでの問題は、マイクロソフトだけでなく、サードパーティ(他社)や個人の開発者の製品にも影響が及ぶというところが深刻です。有名どころでは、アドビシステムズのFlash PlayerとShockwave PlayerのActiveXコントロールにも脆弱性が見つかりました。
アドビシステムズは対応が早かったのでまだ良かったのですが、今回のようなケースでは、メーカーが発表しない限り、どの製品が該当するのか分からないところも怖いところです。
ご自身の環境を確認し、ご使用のソフトの最新情報をチェックされることをおすすめします。
今回の脆弱性に関しては、とりあえず予想される攻撃を受けにくくするためのIE用のパッチ[MS09-034]も準備されました。こちらもあわせて適用することで備えることができます。
結論=面倒くさがらずにパッチは必ず適用しましょう。
