Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

セキュリティ更新プログラム「緊急」1件を公開 - XP以降は「注意」

マイクロソフトは、1月の月例セキュリティ更新プログラム1件について提供を開始した。最大深刻度は「緊急」。

今回提供が開始されたプログラム「MS10-001」は、埋め込み用に用意されている「Embedded OpenTypeフォント」のエンジンにおける脆弱性を解消するプログラム。細工されたフォントで同エンジンで表示すると、リモートでコードが実行される可能性がある。

ただし、現段階で直接影響を受けるのは「Windows 2000」に限られており、深刻度も同OSのみ「緊急」となっている。「Windows XP」以降については、コードが存在しているものの、アクセスする手段がなく、攻撃を受ける可能性はないことが同社の調査で判明しており、深刻度は「注意」と2段階低く設定されている。

「Windows XP」以降へ更新プログラムをリリースした理由について、マイクロソフトのセキュリティレスポンスマネージャの小野寺匠氏は、今後他コンポーネントと組み合わせることにより、あらたな脆弱性が判明する可能性なども踏まえ、今回更新プログラムを提供したと説明した。

深刻度が高い「Windows 2000」においても、悪用しやすい脆弱性ではないとしており、悪用可能性指標も「不安定な悪用コードの可能性」となっている。

また同氏は、「Windows 2000」について2010年7月でサポートが終了し、以降セキュリティ更新プログラムが提供されなくなるとして、Windows 7やWindows Server 2008 R2へ以降を検討することを推奨している。

今回のリリースでは、悪意あるソフトウェアの削除ツール(MSRT)も提供される。同プログラムでは、配布方法が複数あり、リムーバブルメディア経由でも広がるバックドア「Win/Rimecud」に対応した。

2010年1月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms10-jan.mspx

マイクロソフト
http://www.microsoft.com/japan/

(Security NEXT - 2010/01/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

全日空のiOSアプリに脆弱性 - 中間者攻撃受けるおそれ
「Flash Player」狙いのゼロデイ攻撃、3カ月前から準備か - 給与関連書類を偽装、C&Cは偽求人サイト
CMSの「Zenphoto」にコード実行の脆弱性 - 最新版で修正
「BIND 9」が意図せずオープンリゾルバとなるおそれ - 設定の確認を
MS、AMDプロセッサ向けに「Spectre」緩和策を追加
「Chrome」に重要度「高」の脆弱性 - アップデートがリリース
「OpenSSL」にDoS攻撃受ける脆弱性 - 修正は次期アップデートで
MS、6月の月例パッチをリリース - 脆弱性1件が公開済み、悪用は未確認
Windows版LINEにリンクでDLL読込パスを指定できる脆弱性 - すでに修正済み
スマートデバイス向け「VMware AirWatch Agent」に深刻な脆弱性