MS09-035发布于7月28日,用于修复Visual Studio活动模板库(ATL)中的漏洞。相关的安全更新MS09-034包含Internet Explorer的纵深防御缓解措施,用于防范易受攻击组件的攻击。今天我们发布了安全公告MS09-037,修复多个Windows组件中的ATL漏洞。
MS09-037包含以下CVE编号:
- CVE-2008-0015
- CVE-2008-0020
- CVE-2009-2494
- CVE-2009-2493
- CVE-2009-0901
其中CVE-2009-2493和CVE-2009-0901也出现在MS09-035中。您可能会疑惑:这些漏洞不是应该已被之前的更新修复了吗?这个问题有些复杂,我们制作了对比表格帮助理解:
| CVE-2009-2493 & CVE-2009-0901 | 修复方式 |
|---|---|
| MS09-035 | 通过发布新的ATL头文件和库来修复漏洞 |
| MS09-037 | 通过发布受漏洞影响的Windows控件更新版本来修复 |
可以看到,MS09-035和MS09-037从不同角度修复了相同的漏洞。
另外三个CVE(CVE-2008-0015、CVE-2008-0020、CVE-2009-2494)描述的是仅存在于Windows私有ATL代码分支中的漏洞。由于MS09-035是针对Visual Studio发布的公共ATL头文件和库的更新,这些涉及Windows私有ATL代码分支的CVE未被列入MS09-035公告。在MS09-035发布时,Visual Studio用户无需针对这三个新CVE采取行动。
CVE-2008-0015是我们使用CVE编号的典型案例。我们曾在MS09-032中用CVE-2008-0015指代msvidctl.dll远程代码执行漏洞。当MS09-037再次使用CVE-2008-0015时,指的是msvidctl.dll中存在的相同漏洞。对于具有完全相同漏洞并通过MS09-037修复的控件,我们重复使用相同的CVE编号(本例中为CVE-2008-0015)。
希望这能帮助您理解与ATL相关的CVE编号。
- Chengyun Chu,MSRC工程团队 本文"按原样"提供,不作任何担保,也不授予任何权利。