ITpro:過去に類を見ないほど“怖い”脆弱性、MSがパッチを緊急リリース

Visual Studio内の ATL(Active Template Library) に脆弱性が見つかったようで、ATLを使って作成された COM や ActiveX コントロールにもその脆弱性が含まれるようです。

なんか相当数の ActiveX コントロールがこの脆弱性の影響を受けてそうです。

MSがパッチ(MS09-035)を出してますが、これはあくまで Visual Studio 用のパッチであり、過去に作成した ActiveX コントロールの脆弱性を直すものではないということみたいなので、ActiveX開発側の対応がちゃんと対応しないといけないようですね。

でも漏れは出てきそうな気がします。

ただ、この脆弱性に関連するIE用のパッチ(MS09-034)もあり、これを適用するとIE経由でのこの脆弱性をついた攻撃は回避できるようなので、ちょっとは安心できそうです。

で、この脆弱性はたった1つのタイプミスで起きたらしいです。

詳しくはCNET:「IE」に対する最新攻撃の原因、たった1つのタイプミス参照。

どうやら、本来Read関数にポインタを渡さないと行けないのに、ポインタのアドレスを渡してしまったようです。

これがたった一文字｢&｣が余分についてることで起きてるんですから、タイプミスとは恐ろしいもんですね。

特にポインタからむ C,C++ 系ライブラリ作成時はほんとにメモリ管理気をつけないと怖いです。ちょっとしたミスでライブラリ使う全ての製品に影響を与えてしまいますからね。

最近はポインタ意識しない言語増えたたためちょっとは気が楽ですが。。。