セキュリティ更新プログラム「緊急」1件を公開 - XP以降は「注意」

マイクロソフトは、1月の月例セキュリティ更新プログラム1件について提供を開始した。最大深刻度は「緊急」。

今回提供が開始されたプログラム「MS10-001」は、埋め込み用に用意されている「Embedded OpenTypeフォント」のエンジンにおける脆弱性を解消するプログラム。細工されたフォントで同エンジンで表示すると、リモートでコードが実行される可能性がある。

ただし、現段階で直接影響を受けるのは「Windows 2000」に限られており、深刻度も同OSのみ「緊急」となっている。「Windows XP」以降については、コードが存在しているものの、アクセスする手段がなく、攻撃を受ける可能性はないことが同社の調査で判明しており、深刻度は「注意」と2段階低く設定されている。

「Windows XP」以降へ更新プログラムをリリースした理由について、マイクロソフトのセキュリティレスポンスマネージャの小野寺匠氏は、今後他コンポーネントと組み合わせることにより、あらたな脆弱性が判明する可能性なども踏まえ、今回更新プログラムを提供したと説明した。

深刻度が高い「Windows 2000」においても、悪用しやすい脆弱性ではないとしており、悪用可能性指標も「不安定な悪用コードの可能性」となっている。

また同氏は、「Windows 2000」について2010年7月でサポートが終了し、以降セキュリティ更新プログラムが提供されなくなるとして、Windows 7やWindows Server 2008 R2へ以降を検討することを推奨している。

今回のリリースでは、悪意あるソフトウェアの削除ツール（MSRT）も提供される。同プログラムでは、配布方法が複数あり、リムーバブルメディア経由でも広がるバックドア「Win/Rimecud」に対応した。

2010年1月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms10-jan.mspx

マイクロソフト
http://www.microsoft.com/japan/

（Security NEXT - 2010/01/13 ） ツイート

PR

関連記事

「Adobe Acrobat/Reader」がわずか3日で再更新 - 深刻な脆弱性を修正
「Adobe Acrobat/Reader」にゼロデイ脆弱性 - 悪用を確認、緊急更新を
米当局、「SharePoint Server」「Excel」の脆弱性悪用に注意喚起
「FortiSandbox」に複数の「クリティカル」脆弱性 - アップデートを
MS、4月の月例パッチで脆弱性167件に対応 - 一部で悪用を確認
「Adobe ColdFusion」に悪用リスク高い脆弱性 - 早急に対応を
「FortiClient EMS」など7件が悪用脆弱性リストに追加 - 「Adobe」「MS」関連も
AWS向けMCPサーバに深刻なRCE脆弱性 - 修正状況は不明
「MS Edge」がアップデート - 「クリティカル」含む脆弱性60件を修正
感染確認ツール「EmoCheck」に脆弱性 - Emotet収束、利用停止を