セキュリティ更新プログラム「緊急」1件を公開 - XP以降は「注意」

マイクロソフトは、1月の月例セキュリティ更新プログラム1件について提供を開始した。最大深刻度は「緊急」。

今回提供が開始されたプログラム「MS10-001」は、埋め込み用に用意されている「Embedded OpenTypeフォント」のエンジンにおける脆弱性を解消するプログラム。細工されたフォントで同エンジンで表示すると、リモートでコードが実行される可能性がある。

ただし、現段階で直接影響を受けるのは「Windows 2000」に限られており、深刻度も同OSのみ「緊急」となっている。「Windows XP」以降については、コードが存在しているものの、アクセスする手段がなく、攻撃を受ける可能性はないことが同社の調査で判明しており、深刻度は「注意」と2段階低く設定されている。

「Windows XP」以降へ更新プログラムをリリースした理由について、マイクロソフトのセキュリティレスポンスマネージャの小野寺匠氏は、今後他コンポーネントと組み合わせることにより、あらたな脆弱性が判明する可能性なども踏まえ、今回更新プログラムを提供したと説明した。

深刻度が高い「Windows 2000」においても、悪用しやすい脆弱性ではないとしており、悪用可能性指標も「不安定な悪用コードの可能性」となっている。

また同氏は、「Windows 2000」について2010年7月でサポートが終了し、以降セキュリティ更新プログラムが提供されなくなるとして、Windows 7やWindows Server 2008 R2へ以降を検討することを推奨している。

今回のリリースでは、悪意あるソフトウェアの削除ツール（MSRT）も提供される。同プログラムでは、配布方法が複数あり、リムーバブルメディア経由でも広がるバックドア「Win/Rimecud」に対応した。

2010年1月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms10-jan.mspx

マイクロソフト
http://www.microsoft.com/japan/

（Security NEXT - 2010/01/13 ） ツイート

PR

関連記事

脆弱性「Dirty Frag」が製品に与える影響を調査 - Fortinet
「Cisco Catalyst SD-WAN Manager」にゼロデイ脆弱性 - 悪用も確認
「Progress Kemp LoadMaster」にRCE脆弱性 - WAF回避のおそれも
「MOVEit WAF」に検知回避の深刻な脆弱性 - 早急な対策を
「Chrome」最新版で脆弱性429件を修正 - クリティカルは22件
「OpenStack Mistral」に脆弱性 - API認証ユーザーがコード実行可能
「Chrome 149」がリリース - セキュリティ情報は近日公開
「MLflow」にアクセスキーなど機密情報が流出する深刻な脆弱性
米当局、脆弱性3件を悪用カタログに追加 - 早期対応求める
「Cisco Unified CM」にクリティカル脆弱性 - 実証コードが公開済み