MSが1月の月例パッチ公開、Windows Vistaの深刻な脆弱性に対処

[ITmedia]

　米Microsoftは1月8日（日本時間9日）、月例セキュリティ更新プログラム2件を公開し、Windows Vistaに深刻な影響を及ぼす脆弱性に対処した。

　セキュリティ更新プログラムのうち深刻度「緊急」レベルの1件（MS08-001）は、TCP/IP処理に関する2件の脆弱性に対処した。問題を悪用すると、細工を施したIGMPv3／MLDv2パケットをネットワークコンピュータに送信することにより、リモートでコードを実行することが可能になる。

　この脆弱性はMicrosoftのサポート対象のWindows全バージョンが影響を受けるが、特にWindows XP SP2とWindows Vistaで深刻度が高い。

　もう1件の更新プログラムは「重要」レベル（MS08-002）。Windows Local Security Authority Subsystem Service（LSASS）の脆弱性に対処した。LPCリクエストの処理に問題があり、ローカルの権限を昇格されてコードを実行される可能性がある。

　こちらはWindows 2000 SP4、Windows XP SP2、Windows Server 2003 SP1／2が影響を受ける。Windows Vistaは影響を受けない。

　また、悪意のあるソフトウェアの削除ツール更新版と、セキュリティ以外の更新プログラムも同時公開された。このうちWindows Vistaのサイドバー保護を強化する更新プログラムでは、サイドバーで問題のあるガジェットの実行を防止できるようになる。いずれも自動更新で配布される。

　なお、Microsoftは12月にスタートした「Security Vulnerability Research & Defense」ブログで、今回のセキュリティパッチについて詳しく解説している。このブログはMicrosoft製品に関する脆弱性や攻撃状況、回避策などについて、情報を提供する目的で開設された。