製品・ソフトウェアに関する情報
脆弱性検索
Microsoft Visual Studio の ATL におけるオブジェクトのインスタンス化処理に関する任意のコードを実行される脆弱性
タイトル Microsoft Visual Studio の ATL におけるオブジェクトのインスタンス化処理に関する任意のコードを実行される脆弱性
概要

Microsoft Visual Studio の Active Template Library (ATL) には、データストリームからオブジェクトのインスタンス化処理に不備があるため、任意のコードを実行される脆弱性が存在します。

想定される影響 巧妙に細工された HTML ドキュメントにより、任意のコードを実行される可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日 2009年7月28日0:00
登録日 2009年8月31日16:39
最終更新日 2011年1月14日14:32
CVSS2.0 : 危険
スコア 9.3
ベクター AV:N/AC:M/Au:N/C:C/I:C/A:C
影響を受けるシステム
サン・マイクロシステムズ
JDK 5.0 Update 20 未満
JDK 6 Update 15 未満
JRE 1.4.2_22 未満
JRE 5.0 Update 20 未満
JRE 6 Update 15 未満
SDK 1.4.2_22 未満
マイクロソフト
Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 6
Microsoft Outlook 2002
Microsoft Outlook 2003
Microsoft Outlook 2007
Microsoft Visio 2002 Viewer
Microsoft Visio 2003 Viewer
Microsoft Visio Viewer 2007
Microsoft Visual C++ 2005 再頒布可能パッケージ
Microsoft Visual C++ 2008 再頒布可能パッケージ
Microsoft Visual Studio .NET 2003
Microsoft Visual Studio 2005
Microsoft Visual Studio 2005 64-bit Hosted Visual C++ Tools
Microsoft Visual Studio 2008
Microsoft Windows 2000 
Microsoft Windows 7 (x32)
Microsoft Windows 7 (x64)
Microsoft Windows Server 2003 
Microsoft Windows Server 2003 (itanium)
Microsoft Windows Server 2003 (x64)
Microsoft Windows Server 2008 (itanium)
Microsoft Windows Server 2008 (x64)
Microsoft Windows Server 2008 (x86)
Microsoft Windows Server 2008 r2(itanium)
Microsoft Windows Server 2008 r2(x64)
Microsoft Windows Vista 
Microsoft Windows Vista (x64)
Microsoft Windows XP 
Microsoft Windows XP (x64)
Microsoft Windows XP sp3
アドビシステムズ
Adobe Acrobat 9.1.2 およびそれ以前
Adobe AIR 1.5.1 およびそれ以前
Adobe Flash Player 10.0.22.87 およびそれ以前
Adobe Flash Player 9.0.159.0 およびそれ以前
Adobe Reader 9.1.2 およびそれ以前
Adobe Shockwave Player 11.5.0.600 およびそれ以前
日本電気
LaVie シリーズ(発表時期が2009年7月の製品まで)
Mate 
VALUESTAR シリーズ
VersaPro シリーズ(発表時期が2010年1月の製品まで)
OpenOffice.org Project
OpenOffice.org 3.2 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2009年08月31日]
  掲載
[2009年10月30日]
  影響を受けるシステム:マイクロソフト (MS09-055) の情報を追加
  影響を受けるシステム:マイクロソフト (MS09-060) の情報を追加
  ベンダ情報:マイクロソフト (MS09-055) を追加
  ベンダ情報:マイクロソフト (MS09-060) を追加
[2010年01月19日]
  影響を受けるシステム:マイクロソフト (MS09-072) の情報を追加
  ベンダ情報:マイクロソフト (MS09-072) を追加
[2010年02月26日]
  影響を受けるシステム:OpenOffice.org (CVE-2009-2493) の情報を追加
  ベンダ情報:OpenOffice.org (CVE-2009-2493) を追加
[2011年01月14日]
  影響を受けるシステム:日本電気 (NV09-015) の情報を追加
  ベンダ情報:日本電気 (NV09-015) を追加		 2018年2月17日10:37
NVD脆弱性情報
CVE-2009-2493
概要

The Active Template Library (ATL) in Microsoft Visual Studio .NET 2003 SP1, Visual Studio 2005 SP1 and 2008 Gold and SP1, and Visual C++ 2005 SP1 and 2008 Gold and SP1; and Windows 2000 SP4, XP SP2 and SP3, Server 2003 SP2, Vista Gold, SP1, and SP2, and Server 2008 Gold and SP2; does not properly restrict use of OleLoadFromStream in instantiating objects from data streams, which allows remote attackers to execute arbitrary code via a crafted HTML document with an ATL (1) component or (2) control, related to ATL headers and bypassing security policies, aka "ATL COM Initialization Vulnerability."

公表日 2009年7月30日2:30
登録日 2021年1月29日13:20
最終更新日 2018年10月13日6:51
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:microsoft:visual_c\+\+:2005:sp1:*:*:*:*:*:*
cpe:2.3:a:microsoft:visual_c\+\+:2008:*:*:*:*:*:*:*
cpe:2.3:a:microsoft:visual_c\+\+:2008:sp1:*:*:*:*:*:*
構成2 以上 以下 より上 未満
cpe:2.3:o:microsoft:windows_2000:*:sp4:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_2003_server:*:sp2:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_server_2008:*:sp2:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_server_2008:-:*:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_vista:*:sp1:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_vista:*:sp2:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_vista:-:*:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_xp:*:sp2:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_xp:*:sp3:*:*:*:*:*:*
構成3 以上 以下 より上 未満
cpe:2.3:a:microsoft:visual_studio:2003:sp1:*:*:*:*:*:*
cpe:2.3:a:microsoft:visual_studio:2005:sp1:*:*:*:*:*:*
cpe:2.3:a:microsoft:visual_studio:2008:*:*:*:*:*:*:*
cpe:2.3:a:microsoft:visual_studio:2008:sp1:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧