Společnost Microsoft dnes uvolnila dvě bezpečnostní aktualizace, MS09-034 a MS09-035, které opravují zranitelnosti v Microsoft Active Template Library (ATL) umožňující vzdáleným uživatelům bez ověření identity spustit na postiženém systému libovolný kód.

I když obě aktualizace řeší jediný problém, Microsoft se pro zajištění co nejširší možné ochrany svých zákazníků rozhodl pro vydání dvou oddělených bezpečnostních bulletinů:

1. MS09-034 – Bezpečnostní bulletin pro Internet Explorer (IE)

2. MS09-035 – Bezpečnostní bulletin pro Visual Studio

Microsoft také zveřejnil Bezpečnostní doporučení Security Advisory 973882, které zákazníkům nabízí obsáhlý popis celého problému. Doporučení poskytuje informace o krocích, které mohou vývojáři absolvovat pro ověření zranitelnosti ovládacích prvků a komponent vyvinutých s využitím Active Template Library, a v případě, že se jich zranitelnost týká, nabízí jim také návod, jak zranitelnost odstranit. Doporučení obsahuje také informace o specifických krocích, které by měli zákazníci aplikovat pro zajištění ochrany před útoky využívajícími zranitelné ovládací prvky a komponenty vyvinuté s použitím neopravené Active Template Library.

Zákazníci, kteří implementovali všechny dostupné bezpečnostní aktualizace, jsou chráněni před známými útoky spojenými s dnešní mimořádnou bezpečnostní aktualizací. Microsoft všem zákazníkům využívajícím Visual Studio a Internet Explorer důrazně doporučuje tyto aktualizace co nejrychleji otestovat a nasadit. Pro zajištění co nejrychlejšího zabezpečení svých zákazníků Microsoft pracuje na odhalení všech ovládacích prvků a komponent vyvinutých přímo společností Microsoft a poskytnutí odpovídajících aktualizací. Microsoft také připravuje návody a informace, které nezávislým vývojářům softwaru umožní odhalit případná bezpečnostní rizika v jejich komponentech a ovládacích prvcích a způsoby, jakými mohou bezpečnostní rizika odstranit.

V odpovědi na hrozbu pro zákazníky a s vědomím výzev, které pro ně představuje nasazování aktualizací, Microsoft okamžitě po zjištění problému aktivoval svůj Proces reakce na bezpečnostní rizika softwaru, Software Security Incident Response Process (SSIRP), a mobilizoval bezpečnostní vývojové týmy po celém světě, aby začaly pracovat na vývoji, testování a distribuci bezpečnostní aktualizace odpovídající kvality pro zákazníky na celém světě.

Microsoft aktivně spolupracuje s partnery v rámci programu MAPP, Microsoft Active Protections Program, na zajištění dostupnosti informací, které mohou pomoci se zajištěním širší ochrany svých zákazníků.

Další zdroje informací

Nastudujte si prosím následující informační zdroje společnosti Microsoft, které budeme podle potřeby aktualizovat:

Microsoft Security Response Center

Security Research and Defense

General ATL Information Landing Page

Developer Landing Page

Developer Focused Channel 9 Video

Security Development Lifecycle Blog

Ecostrat Blog

 

Buri