Microsoft、8件の月例セキュリティ情報を公開

8件の内訳は「緊急」が1件、「重要」が7件。Googleがパッチ公開を待たずに情報を公開していた2件の脆弱性も修正された。

» 2015年01月14日 07時32分 公開
[鈴木聖子ITmedia]

 米Microsoftは1月13日(日本時間14日)、8件の月例セキュリティ情報を公開し、Windowsの脆弱性を修正した。8件のうち1件は最大深刻度が最も高い「緊急」、残る7件は2番目に高い「重要」に指定している。同社は今回から一般ユーザー向けの事前通知の提供を打ち切っていた

 緊急に指定されているのは、Windows Telnetサービスのバッファオーバーフローの脆弱性に対処した更新プログラム(MS15-002)。この脆弱性はサポート対象の全Windowsが影響を受け、悪用された場合、細工を施したTelnetパケットを使って任意のコードを実行される恐れがある。

 ただし影響を受けるのは、ユーザーがTelnetサービスを有効にしている場合のみ。Windows Server 2003ではデフォルトの状態でTelnetがインストールされているものの、有効にはなっていない。Windows Vistaとそれ以降のOSは、デフォルトの状態ではTelnetはインストールされていない。

 残る7件のセキュリティ情報で対処した脆弱性のうち、ディレクトリトラバーサルの特権昇格の脆弱性(MS15-004)については「限定的な標的型攻撃」の発生が確認されている。脆弱性はWindowsコンポーネントの「TS WebProxy」に存在していて、悪用された場合、攻撃者にユーザーと同じ権限を取得される恐れがある。Internet Explorerなどに存在する他の脆弱性と組み合わせて攻撃に使われる公算が大きいという。

 また、Microsoftアプリケーションの互換性インフラストラクチャの特権昇格の脆弱性(MS15-001)、Microsoft User Profile Serviceの特権昇格の脆弱性(MS15-003)の2件は、米GoogleがMicrosoftのパッチ公開を待たずに情報を公開していたもの。これに対してMicrosoftは、Googleのやり方によって被害を受けるのはユーザーだとして同社を非難していた。いずれも13日の時点で悪用を試みる動きは確認されていない。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ