マイクロソフト セキュリティ情報 MS09-035 – 警告
Microsoft
www.microsoft.com
MS09-035はATLが包含する脆弱性に対するパッチで、これのまずさは今までの多くのWindowsのパッチと違いユーザー側やIT Prop側では基本的に対応できないところです。
開発者側で対応し、自社の製品等のアップデートをする必要があります。
どのような場合にパッチ適応とリビルドが必要なのか以下にフローチャート式でまとめられているので、ATLを使って開発をされている型は確認をしましょう。
ユーザー側でできることの対応としては、とりあえずIEの設定でプラグインを停止し、Active-Xコントロールを使用しないように変更しておくことをおすすめします。(これも完璧じゃないです)
MSにお願い
サポートが切れているのはわかりますが、COMコンポーネントが一番活発に作られていたのはVC6の頃です。直接ソースパッチを公開することができなくても、ユーザー(開発者)側で修正できるような内容での情報公開はできないものでしょうか。
コメント
ビルドし直せって今になって言われてもねえ。「問題のAPIを、問題のパラメータでcallしているコード」はMS自身ならパターンマッチングで検出できそうだから、脆弱性の可能性についてレポートを出してくれて、その上バイナリパッチを当てる(のを支援する)ツールをMSから配布してくれればいくらか良いのだけれど。