Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

MS、月例パッチ7件を公開 - 12件の脆弱性を対処

日本マイクロソフトは、2013年1月の月例セキュリティ更新プログラムを公開した。

130109ms_001.jpg
1月の月例セキュリティ更新プログラム一覧

今回の更新プログラムは、深刻度が4段階中もっとも高い「緊急」2件を含む7件。これらプログラムを通じて、12件の脆弱性を修正している。これら脆弱性の公開や悪用は確認されていない。

深刻度が「緊急」で、なかでも適用優先度のレーティングが高いプログラムは、「Microsoft XMLコアサービス」に存在する2件の脆弱性に対応した「MS13-002」。悪意あるウェブページを「Internet Explorer」により閲覧した場合に脆弱性を攻撃され、不正なコードを実行されるおそれがある。

もう1件の「緊急」とされるプログラムは「MS13-001」で、「Windows印刷スプーラーコンポーネント」の脆弱性に対応した。プリントサーバが、細工された印刷ジョブを受信した際にコードを実行されるおそれがある。

日本マイクロソフトセキュリティレスポンスチームでチーフセキュリティアドバイザーを務める高橋正和氏は、「組織内に点在するプリントサーバは、クライアントPCと違ってアップデートを見逃されるケースがある」と指摘。アップデートの適用だけでなく、セキュリティ対策の状況を確認するよう推奨している。

残り5件のプログラムの深刻度は、いずれも2番目に高いとされる「重要」。「MS13-004」では、「.NET Framework」における特権の昇格や情報漏洩など、4件の脆弱性に対応した。

一方「MS13-006」は、攻撃者が特別な細工を施したコンテンツをセッションに挿入することで、「SSL v3」や「TLS」による通信を「SSLv2」にダウングレードできる脆弱性。ただし悪用は難しいと同社では判断しており、深刻度は「重要」となっている。

また「MS13-005」では、「Windowsカーネルモードドライバ」において特権の昇格が生じる問題を解消。「MS13-007」では、「Open Dataプロトコル」においてサービス拒否が発生する脆弱性を修正した。

「MS13-003」は、「Microsoft System Center Operations Manager」の脆弱性に対処するプログラム。
「Microsoft Update」経由の提供は行われず、必要に応じて手動で適用する必要がある。脆弱性は「同2007 R2」と「同2007 SP1」に影響があるが、後者向けのプログラムは現在開発を進めており、完了次第公開する予定だという。

(Security NEXT - 2013/01/09 ) このエントリーをはてなブックマークに追加

PR

関連記事

サードパーティ製ソフトに起因する脆弱性7件を修正 - Atlassian
「MS Edge 124」がリリース、脆弱性17件を修正
「PAN-OS」脆弱性への攻撃、国内でも被害報告
「ClamAV」にクリティカルパッチ - サービス拒否の脆弱性など修正
「PAN-OS」のアップデートが公開 - 旧版にも順次提供予定
「PAN-OS」脆弱性、攻撃条件を修正 - 一部緩和策が「効果なし」に
「PAN-OS」脆弱性に対する攻撃が増加 - コマンドで悪用試行を確認可能
「PAN-OS」脆弱性の詳細や悪用コードが公開済み - 攻撃拡大のおそれ
WP向けメールマーケティングプラグインにSQLi脆弱性
HashiCorpのGo言語向けライブラリ「go-getter」に脆弱性

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.