セキュリティ更新プログラム「緊急」1件を公開 - XP以降は「注意」

マイクロソフトは、1月の月例セキュリティ更新プログラム1件について提供を開始した。最大深刻度は「緊急」。

今回提供が開始されたプログラム「MS10-001」は、埋め込み用に用意されている「Embedded OpenTypeフォント」のエンジンにおける脆弱性を解消するプログラム。細工されたフォントで同エンジンで表示すると、リモートでコードが実行される可能性がある。

ただし、現段階で直接影響を受けるのは「Windows 2000」に限られており、深刻度も同OSのみ「緊急」となっている。「Windows XP」以降については、コードが存在しているものの、アクセスする手段がなく、攻撃を受ける可能性はないことが同社の調査で判明しており、深刻度は「注意」と2段階低く設定されている。

「Windows XP」以降へ更新プログラムをリリースした理由について、マイクロソフトのセキュリティレスポンスマネージャの小野寺匠氏は、今後他コンポーネントと組み合わせることにより、あらたな脆弱性が判明する可能性なども踏まえ、今回更新プログラムを提供したと説明した。

深刻度が高い「Windows 2000」においても、悪用しやすい脆弱性ではないとしており、悪用可能性指標も「不安定な悪用コードの可能性」となっている。

また同氏は、「Windows 2000」について2010年7月でサポートが終了し、以降セキュリティ更新プログラムが提供されなくなるとして、Windows 7やWindows Server 2008 R2へ以降を検討することを推奨している。

今回のリリースでは、悪意あるソフトウェアの削除ツール（MSRT）も提供される。同プログラムでは、配布方法が複数あり、リムーバブルメディア経由でも広がるバックドア「Win/Rimecud」に対応した。

2010年1月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms10-jan.mspx

マイクロソフト
http://www.microsoft.com/japan/

（Security NEXT - 2010/01/13 ） ツイート

PR

関連記事

「a-blog cms」に「SSRF」など複数脆弱性 - アップデートで修正
PostgreSQL向けミドルウェア「Pgpool-II」に認証回避の脆弱性
「vCenter Server」「ESXi」などVMware製品に複数脆弱性
I-O DATAのNAS製品「HDL-T」シリーズに深刻な脆弱性
SAMLライブラリ「samlify」に「クリティカル」脆弱性
米政府、脆弱性6件の悪用に注意喚起 - メールや社内チャットなども標的に
トルコ関与疑われる攻撃グループ、チャット製品にゼロデイ攻撃
「Kibana」にプロトタイプ汚染の脆弱性 - アップデートや緩和策
「Firefox」のJavaScript処理に脆弱性 - 重要度「クリティカル」
「Auth0」のSDKに脆弱性 - 各プラットフォーム向けにアップデート