ナレッジベース

ActiveX 製品共通

概要
マイクロソフト社のセキュリティ情報「MS09-035」により、Visual StudioのATLにリモートでコードが実行される脆弱性が報告されています。調査の結果、ATLを使用している弊社のActiveX製品の中にも、この脆弱性の影響を受ける製品がありました。
マイクロソフト セキュリティ情報 MS09-035 - 緊急

影響を受ける製品

• DenpyoMan 1.5J
• iNetMail 1.0J
• iNetSuite 1.0J
• iNetTransfer 1.0J
• iNetWinsock 1.0J
• InputMan Pro 7.0J
  ※ファンクションキーコントロールのみ（他のコントロールは影響を受けません）
• VS-FlexGrid Pro 8.0J
• VS-Resizer 6.0J
• VS-VIEW 8.0J

詳細
この脆弱性を利用した攻撃（リモートでの任意のコード実行）が成功するには、以下のすべての条件を満たすことが必要です。

• この脆弱性を含んだActiveXコントロールがユーザーのコンピュータにインストール（登録）されている
• 攻撃者がこのコントロールを対象とした悪意のあるWebページを作成する
• 攻撃者が悪意のあるWebページにユーザーを誘導することに成功する

防御方法
マイクロソフト社からInternet Explorerのセキュリティ更新プログラム（972260）がリリースされています。
この更新プログラムにはこの脆弱性を利用した攻撃への対策が含まれていますので、必ずインストールするようにしてください。
[MS09-034] Internet Explorer 用の累積的なセキュリティ更新プログラム

また、この脆弱性を利用した攻撃を防御するもうひとつの方法として、該当するActiveXコントロールをInternet Explorer上で実行できなくしてしまう方法があります。PowerToolsセキュリティ更新プログラム（2009年8月）は、この方法を利用してWebからの悪意のある攻撃を防ぎます。
参考リンク How to stop an ActiveX control from running in Internet Explorer

更新プログラムの利用方法
影響を受ける製品をインストールしてあるコンピュータ（開発環境および実行環境）上で更新プログラムをインストールします。弊社製品を使用して開発したお客様のアプリケーションの変更・再ビルド・再配布は不要です。

（注意） Internet Explorer上で該当製品を使用している場合は、この更新プログラムをインストールしないでください。

更新プログラムのダウンロード

PowerToolsセキュリティ更新プログラム（2009年8月）

注意事項　／　修正内容