通報簡述
主旨：微軟Visual Basic ActiveX遠端程式碼執行弱點
時間：2009/06/10
等級：第二級(警告)
通報類別：弱點警報
編寫：G-Expert網路安全團隊-宋子莉
描述：MSCOMM32.OCX ATL Loader是與微軟Visual Basic相關的常用微軟ActiveX control，具有緩衝區溢位的弱點會導致遠端程式碼執行。

微軟ATL是種C++樣板程式碼的集合，藉由現成程式碼的使用讓程式能快速發展。MSCOMM32使用客製版本的ATL，但此版本能被駭客遠端利用。雖然部份Visual Basic 6 runtime並非Windows作業系統的預設元件，但MSCOMM32 ActiveX control是普遍使用的。此弱點相關於透過ATL abstraction layer載入持續性資料到此函式庫匯出的COM controls；這導致了堆疊式溢位的發生。

風險詳述
外掛程式，如ActiveX control，現已成為惡意網站漏洞toolkit開發者的最高目標之一。這些網站漏洞toolkit目前依賴幾乎所有可知的瀏覽器相關漏洞。這項ActiveX control的漏洞提供攻擊者該受害者的權限，進而能完全控制受害系統。

雖然此ActiveX control並非預設安裝，但大多數電腦都有。幾乎所有Visual Basic應用程式在安裝過程都包含這個DLL；並且因為它被視為這些應用程式的共享元件，所以在移除程式之後，通常都還會留在系統中。所以如果Visual Basic程式曾經安裝在某台電腦，它就可能安裝過此項ActiveX control；因此造成此元件高度地普及，也成為攻擊者的有利目標。

影響系統
Microsoft系列
Windows 2000 SP4
Windows XP SP2 and SP3
Windows XP Pro x64 SP2
Server 2003 SP3
Server 2003 x64 SP2
Server 2003 SP2 Itanium-based Systems
Vista, SP1 and SP2
Vista x64, SP1 and SP2
Server 2008 and SP2
Server 2008 x64 and SP2
Server 2008 Itanium-based Systems and SP2

解決方案
儘速進行微軟修補更新動作。
http://www.microsoft.com/downloads/en/results.aspx?pocId=&freetext=KB969898&DisplayLang=en

ISS防護方式：

Network Sensor 7.0
Proventia A
Proventia IPS (G/GX)
Server Sensor 7.0
Proventia Multifunction Appliance
Proventia Server (Linux)
Content Version: 28.170
Proventia Server (Windows)
Proventia Desktop
Content Version: 2310
Propagation Techniques: remote exploit
ISS Protection Available: HTML_ATL_ActiveX_BO
Available: Nov 11, 2008

TippingPoint 防護方式：

Filter 8190 HTTP: Malicious ActiveX Instantiation
 

參考資料
Microsoft Security Advisory (969898)
Update Rollup for ActiveX Kill Bits
http://www.microsoft.com/technet/security/advisory/969898.mspx
ISS X-Force Database
ATL ActiveX buffer overflow
http://xforce.iss.net/xforce/xfdb/46196