← 戻る
CVE-2009-2493
high
CVSS 8.8
The Active Template Library (ATL) in Microsoft Visual Studio .NET 2003 SP1, Visual Studio 2005...
概要
The Active Template Library (ATL) in Microsoft Visual Studio .NET 2003 SP1, Visual Studio 2005...
AI要約 openai / gpt-4o
Microsoft Visual StudioのActive Template Library (ATL)において、安全でない方法でOleLoadFromStreamを使用し、データストリームからのオブジェクト生成が適切に制限されない問題があります。これにより、リモートの攻撃者が細工されたHTMLドキュメントを用いて任意のコードを実行することが可能です。
❓ 何が問題か
Microsoft Visual StudioのActive Template Library (ATL)において、OleLoadFromStreamを不適切に利用する脆弱性。
📍 影響範囲
Visual Studio .NET 2003 SP1, Visual Studio 2005 SP1, 2008 GoldとSP1, Visual C++ 2005 SP1と2008 GoldとSP1、および対応するWindowsのバージョン。
🔥 重要度
リモートから任意のコードを実行可能にするため、セキュリティリスクが高い。高いCVSSスコアも問題の重大さを示す。
🔧 修正方法
Microsoftから提供されたセキュリティパッチを適用する。
🛡️ 暫定回避
関連するコンポーネントやコントロールの使用を一時的に停止する措置を考慮する。
🔍 検知方法
脆弱なATLのバージョンを使用しているか確認し、Microsoftのセキュリティ情報を参照する。
参照URL
- web http://blogs.technet.com/srd/archive/2009/08/11/ms09-037-why-we-are-using-cve-s-already-used-in-ms09-035.aspx
- web http://lists.opensuse.org/opensuse-security-announce/2009-11/msg00002.html
- web http://marc.info/?l=bugtraq&m=126592505426855&w=2
- web http://secunia.com/advisories/35967
- web http://secunia.com/advisories/36187
- web http://secunia.com/advisories/36374
- web http://secunia.com/advisories/36746
- web http://secunia.com/advisories/38568
- web http://secunia.com/advisories/41818
- web http://sunsolve.sun.com/search/document.do?assetkey=1-66-264648-1
- web http://sunsolve.sun.com/search/document.do?assetkey=1-66-266108-1
- web http://sunsolve.sun.com/search/document.do?assetkey=1-77-1020775.1-1
- web http://www.adobe.com/support/security/advisories/apsa09-04.html
- web http://www.adobe.com/support/security/bulletins/apsb09-10.html
- web http://www.adobe.com/support/security/bulletins/apsb09-11.html
- web http://www.adobe.com/support/security/bulletins/apsb09-13.html
- web http://www.novell.com/support/viewContent.do?externalId=7004997&sliceId=1
- web http://www.openoffice.org/security/cves/CVE-2009-2493.html
- web http://www.us-cert.gov/cas/techalerts/TA09-195A.html
- web http://www.us-cert.gov/cas/techalerts/TA09-223A.html
- web http://www.us-cert.gov/cas/techalerts/TA09-286A.html
- web http://www.us-cert.gov/cas/techalerts/TA09-342A.html
- web http://www.vupen.com/english/advisories/2009/2034
- web http://www.vupen.com/english/advisories/2009/2232
- web http://www.vupen.com/english/advisories/2010/0366
- web https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-035
- web https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-037
- web https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-055
- web https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-060
- web https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-072
- web https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6245
- web https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6304
- web https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6421
- web https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6473
- web https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6621
- web https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A6716
- web https://nvd.nist.gov/vuln/detail/CVE-2009-2493
- web https://github.com/advisories/GHSA-xrpm-74v3-f6fq