Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS、月例パッチ7件を公開 - 12件の脆弱性を対処

日本マイクロソフトは、2013年1月の月例セキュリティ更新プログラムを公開した。

130109ms_001.jpg
1月の月例セキュリティ更新プログラム一覧

今回の更新プログラムは、深刻度が4段階中もっとも高い「緊急」2件を含む7件。これらプログラムを通じて、12件の脆弱性を修正している。これら脆弱性の公開や悪用は確認されていない。

深刻度が「緊急」で、なかでも適用優先度のレーティングが高いプログラムは、「Microsoft XMLコアサービス」に存在する2件の脆弱性に対応した「MS13-002」。悪意あるウェブページを「Internet Explorer」により閲覧した場合に脆弱性を攻撃され、不正なコードを実行されるおそれがある。

もう1件の「緊急」とされるプログラムは「MS13-001」で、「Windows印刷スプーラーコンポーネント」の脆弱性に対応した。プリントサーバが、細工された印刷ジョブを受信した際にコードを実行されるおそれがある。

日本マイクロソフトセキュリティレスポンスチームでチーフセキュリティアドバイザーを務める高橋正和氏は、「組織内に点在するプリントサーバは、クライアントPCと違ってアップデートを見逃されるケースがある」と指摘。アップデートの適用だけでなく、セキュリティ対策の状況を確認するよう推奨している。

残り5件のプログラムの深刻度は、いずれも2番目に高いとされる「重要」。「MS13-004」では、「.NET Framework」における特権の昇格や情報漏洩など、4件の脆弱性に対応した。

一方「MS13-006」は、攻撃者が特別な細工を施したコンテンツをセッションに挿入することで、「SSL v3」や「TLS」による通信を「SSLv2」にダウングレードできる脆弱性。ただし悪用は難しいと同社では判断しており、深刻度は「重要」となっている。

また「MS13-005」では、「Windowsカーネルモードドライバ」において特権の昇格が生じる問題を解消。「MS13-007」では、「Open Dataプロトコル」においてサービス拒否が発生する脆弱性を修正した。

「MS13-003」は、「Microsoft System Center Operations Manager」の脆弱性に対処するプログラム。
「Microsoft Update」経由の提供は行われず、必要に応じて手動で適用する必要がある。脆弱性は「同2007 R2」と「同2007 SP1」に影響があるが、後者向けのプログラムは現在開発を進めており、完了次第公開する予定だという。

(Security NEXT - 2013/01/09 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Chrome 81.0.4044.92」が公開に - セキュリティ関連で32件の修正
Mozilla、「Firefox 75」をリリース - 脆弱性6件を修正
Joomla向けプラグイン「AcyMailing」に脆弱性 - 修正版が公開
「NGINX Controller」や「NGINX」向けモジュールに脆弱性が判明
トレンドマイクロ製パスワード管理ソフトに脆弱性
ビデオ会議などに用いるGrandstream製IP-PBXに深刻な脆弱性
DrayTek製複数ネットワーク機器に深刻な脆弱性 - すでに悪用も
「Firefox 74.0.1」が公開、ゼロデイ脆弱性を修正 - 標的型攻撃を確認
BD製医療機器にキオスクモード回避のおそれ
ビデオ会議で人気集める「Zoom」に複数問題 - 修正に追われる