セキュリティ更新プログラム「緊急」1件を公開 - XP以降は「注意」

マイクロソフトは、1月の月例セキュリティ更新プログラム1件について提供を開始した。最大深刻度は「緊急」。

今回提供が開始されたプログラム「MS10-001」は、埋め込み用に用意されている「Embedded OpenTypeフォント」のエンジンにおける脆弱性を解消するプログラム。細工されたフォントで同エンジンで表示すると、リモートでコードが実行される可能性がある。

ただし、現段階で直接影響を受けるのは「Windows 2000」に限られており、深刻度も同OSのみ「緊急」となっている。「Windows XP」以降については、コードが存在しているものの、アクセスする手段がなく、攻撃を受ける可能性はないことが同社の調査で判明しており、深刻度は「注意」と2段階低く設定されている。

「Windows XP」以降へ更新プログラムをリリースした理由について、マイクロソフトのセキュリティレスポンスマネージャの小野寺匠氏は、今後他コンポーネントと組み合わせることにより、あらたな脆弱性が判明する可能性なども踏まえ、今回更新プログラムを提供したと説明した。

深刻度が高い「Windows 2000」においても、悪用しやすい脆弱性ではないとしており、悪用可能性指標も「不安定な悪用コードの可能性」となっている。

また同氏は、「Windows 2000」について2010年7月でサポートが終了し、以降セキュリティ更新プログラムが提供されなくなるとして、Windows 7やWindows Server 2008 R2へ以降を検討することを推奨している。

今回のリリースでは、悪意あるソフトウェアの削除ツール（MSRT）も提供される。同プログラムでは、配布方法が複数あり、リムーバブルメディア経由でも広がるバックドア「Win/Rimecud」に対応した。

2010年1月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms10-jan.mspx

マイクロソフト
http://www.microsoft.com/japan/

（Security NEXT - 2010/01/13 ） ツイート

PR

関連記事

「MS Edge」にアップデート - ゼロデイ脆弱性を解消
ファイル管理ツール「File Browser」に脆弱性 - 依存ライブラリに起因
「FortiWeb」に悪用済み脆弱性が判明 - 今月2件目
「Chrome」のスクリプトエンジンにゼロデイ脆弱性 - 修正版が公開
Appleの動画エンコーダ「Compressor」に脆弱性 - アップデートで修正
Zoho製アプリ監視ツールにコマンド検証回避の脆弱性 - アップデートで修正
「IBM AIX」のNIM関連機能に深刻な脆弱性 - アップデートで修正
「MS Edge」にアップデート - 「V8」の脆弱性を解消
米当局、「FortiWeb」の脆弱性悪用に注意喚起
「FortiWeb」に深刻な脆弱性 - すでに攻撃も