Come annunciato in precedenza dal CERT-SPC, Microsoft ha reso disponibili due bollettini out of band per correggere 3 vulnerabilità in Microsoft Internet Explorer (MS09-034) e tre vulnerabilità in Micorsoft Visual Studio (MS09-035). Entrambi gli aggiornamenti di sicurezza sono collegati tra loro in quanto alcune componenti e controlli di Internet Explorer, interessati da specifiche tecniche di attacco, sono stati sviluppati con versioni vulnerabili di Microsoft Active Template Library (ATL) di Visual Studio.

MS09-034: Questo aggiornamento di sicurezza corregge le vulnerabilità CVE-2009-1917, CVE-2009-1918 e CVE-2009-1919 in Microsoft Internet Explorer relative al processo di allocazione della memoria in determinate condizioni. Lo scenario di attacco è comune a tutte e tre le vulnerabilità e consiste nell'indurre un utente a visitare un pagina web appositamente predisposta da un attaccante. L'impatto per tutte le vulnerabilità indicate, se sfruttate con successo, consente l'esecuzione di codice arbitrario nel contesto di sicurezza dell'utente che ha avviato Internet Explorer. Pertanto gli utenti configurati con privilegi amministrativi risultano maggiormente esposti all'attacco rispetto agli utenti con privilegi ristretti. Le versioni di software interessate dall'aggiornamento di sicurezza sono: Internet Explorer 5.01, Internet Explorer 6 Service Pack 1 (su piattaforme supportate di Microsoft Windows 2000), Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 (su versioni supportate di Windows XP), Internet Explorer 7 ed Internet Explorer 8 su Windows Vista; Internet Explorer 6, Internet Explorer 7 ed Internet Explorer 8 su Windows Server 2003; Internet Explorer 7 e Internet Explorer 8 su Windows Server 2008. Ulteriori dettagli sono disponibili presso la seguente URL: http://www.microsoft.com/technet/security/bulletin/ms09-034.mspx

MS09-035: Questo aggiornamento di sicurezza corregge le vulnerabilità CVE-2009-0901, CVE-2009-2493 e CVE-2009-2495 in Microsoft Active Template Library (ATL) di Microsoft Visual Studio. Ulteriori dettagli sono disponibili presso la seguente URL: http://www.microsoft.com/technet/security/bulletin/ms09-035.mspx. Inoltre Microsoft ha pubblicato un avviso di sicurezza 973882 che fornisce una specifica guida agli sviluppatori, idonea anche per tutti le altre tipologie di utenti, relativa alla vulnerabilità in Active Template Library (ATL).

In relazione al bollettino di tipo "out of band" (MS09-035) relativo alla vulnerabilità che interessa Microsoft Active Template Library (ATL) in Microsoft Visual Studio, si rappresenta che è stato pubblicato un articolo redatto in lingua italiana sul blog di Microsoft raggiungibile alla seguente URL: http://blogs.technet.com/feliciano_intini/archive/2009/07/28/rilascio-straordinario-di-sicurezza-microsoft-del-28-luglio-2009-prime-indicazioni-e-raccomandazioni.aspx.
Si rappresenta l'importanza di questo aggiornamento in quanto qualsiasi controllo ActiveX compilato con la versione vulnerabile di ATL può essere interessato dalla vulnerabilità. Pertanto gli sviluppatori che hanno creato controlli Active X con versioni vulnerabili della libreria devono ricompilare i componenti realizzati con la versione aggiornata al fine di risolvere i problemi di sicurezza indicati nel bollettino MS09-035.