| Title | Microsoft Visual Studio の ATL における未初期化オブジェクト処理に関する任意のコードを実行される脆弱性 |
|---|---|
| Summary | Microsoft Visual Studio の Active Template Library (ATL) には、初期化されていない VARIANT の VariantClear 呼び出しを抑止しないため、任意のコードを実行される脆弱性が存在します。 |
| Possible impacts | ATL コンポーネント、またはコントロールへの巧妙に細工されたストリームにより、任意のコードを実行される可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | July 28, 2009, midnight |
| Registration Date | Aug. 31, 2009, 4:38 p.m. |
| Last Update | Jan. 14, 2011, 2:31 p.m. |
| CVSS2.0 : 危険 | |
| Score | 9.3 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:C/I:C/A:C |
| マイクロソフト |
| Microsoft Outlook 2002 |
| Microsoft Outlook 2003 |
| Microsoft Outlook 2007 |
| Microsoft Visio 2002 Viewer |
| Microsoft Visio 2003 Viewer |
| Microsoft Visio Viewer 2007 |
| Microsoft Visual C++ 2005 再頒布可能パッケージ |
| Microsoft Visual C++ 2008 再頒布可能パッケージ |
| Microsoft Visual Studio .NET 2003 |
| Microsoft Visual Studio 2005 |
| Microsoft Visual Studio 2005 64-bit Hosted Visual C++ Tools |
| Microsoft Visual Studio 2008 |
| Microsoft Windows 2000 |
| Microsoft Windows Server 2003 |
| Microsoft Windows Server 2003 (itanium) |
| Microsoft Windows Server 2003 (x64) |
| Microsoft Windows Server 2008 (itanium) |
| Microsoft Windows Server 2008 (x64) |
| Microsoft Windows Server 2008 (x86) |
| Microsoft Windows Vista |
| Microsoft Windows Vista (x64) |
| Microsoft Windows XP |
| Microsoft Windows XP (x64) |
| Microsoft Windows XP sp3 |
| アドビシステムズ |
| Adobe Acrobat 9.1.2 およびそれ以前 |
| Adobe AIR 1.5.1 およびそれ以前 |
| Adobe Flash Player 10.0.22.87 およびそれ以前 |
| Adobe Flash Player 9.0.159.0 およびそれ以前 |
| Adobe Reader 9.1.2 およびそれ以前 |
| Adobe Shockwave Player 11.5.0.600 およびそれ以前 |
| 日本電気 |
| LaVie シリーズ(発表時期が2009年7月の製品まで) |
| Mate |
| VALUESTAR シリーズ |
| VersaPro シリーズ(発表時期が2010年1月の製品まで) |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2009年08月31日] 掲載 [2009年10月30日] 影響を受けるシステム:マイクロソフト (MS09-060) の情報を追加 ベンダ情報:マイクロソフト (MS09-060) を追加 [2011年01月14日] 影響を受けるシステム:日本電気 (NV09-015) の情報を追加 ベンダ情報:日本電気 (NV09-015) を追加 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | The Active Template Library (ATL) in Microsoft Visual Studio .NET 2003 SP1, Visual Studio 2005 SP1 and 2008 Gold, and Visual C++ 2005 SP1 and 2008 Gold and SP1; and Windows 2000 SP4, XP SP2 and SP3, Server 2003 SP2, Vista Gold, SP1, and SP2, and Server 2008 Gold and SP2; does not prevent VariantClear calls on an uninitialized VARIANT, which allows remote attackers to execute arbitrary code via a malformed stream to an ATL (1) component or (2) control, related to ATL headers and error handling, aka "ATL Uninitialized Object Vulnerability." |
|---|---|
| Summary | Please refer to this link http://www.microsoft.com/technet/security/Bulletin/MS09-035.mspx for mitigating factors and additional information. |
| Publication Date | July 30, 2009, 2:30 a.m. |
| Registration Date | Jan. 29, 2021, 1:15 p.m. |
| Last Update | Oct. 13, 2018, 6:50 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:microsoft:visual_c\+\+:2005:sp1_redistribution_pkg:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:visual_c\+\+:2008:redistribution_pkg:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:visual_c\+\+:2008:sp1_redistribution_pkg:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:visual_studio:2005:sp1:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:visual_studio:2005:sp1:64_bit_hosted_visual_c\+\+_tools:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:visual_studio:2008:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:visual_studio:2008:sp1:*:*:*:*:*:* | |||||
| cpe:2.3:a:microsoft:visual_studio_.net:2003:sp1:*:*:*:*:*:* | |||||