マイクロソフト「Black Tuesday」：2010年最初のパッチは非ブラック



概要：

Embedded OpenType（EOT）フォントエンジンと呼ばれるWindowsコンポーネントには、整数のオーバーフローに関する脆弱性がある。Windows 2000（2K）の管理者に影響がある。



詳細：

先週のWatchGuard Wireで警告した通り、マイクロソフトは、本日1件のセキュリティアドバイザリをリリースする。主に影響があるのはWindows 2000（2K）の管理者である。そのため2Kを使用するか否かに関わらず、本日のパッチ・デイは特に大きな問題もなく終わることでしょう。



本日のアドバイザリ（1件のみ）によると、Embedded OpenType (EOT) フォントエンジンと呼ばれるWindowsコンポーネントに、攻撃者がコードを実行するのに利用できる整数のオーバーフローの脆弱性がある。EOTエンジンは、ドキュメントまたはWebページに埋め込むEOTフォントの処理に関与しているコンポーネントである。攻撃者は、ドキュメントをダウンロードさせそれを開かせるか、不当に作成されたEOTフォントを含むWebページに誘導することにより、この脆弱性を利用して、リモート環境からPC上で任意のコードを実行することができる。もし、あなたが管理者権限を持つならば、攻撃者はこの欠陥を利用してあなたのコンピュータの全権限を掌握することが可能である。



とても深刻な影響を与える脆弱性ではあるが、ほとんどのWindowsユーザに影響はない。Windowsの現バージョンはすべてがEOTフォントエンジンを搭載しているが、実装に問題があるのはWindows 2000だけであるからだ。そのため、マイクロソフトのナレッジベースには、現実的にこの欠陥が影響を与えるのは、Windows 2000だけと記されている。



もしあなたがWindows 2000を使用しているならば、いますぐパッチを適用すべきである。あなたがWindowsの他のバージョンを使用しているならば、都合の良いときに適用すればよいでしょう（修正パッチなので適用は必ず行うこと）。



マイクロソフトは、こうしたセキュリティ情報及びパッチの情報を公開している。以下のリンク先の「Affected Software and Download Location」を参照すること。

http://www.microsoft.com/technet/security/bulletin/ms10-jan.mspx



WatchGuardは、これらの修正に関して、LiveSecurityとLiveSecurity Informerを通じて情報を公表する。



Corey Nachreiner, CISSP



Microsoft Black Tuesday: First Patch Day of 2010 not so black

http://www.watchguard.com/RSS/showarticle.aspx?pack=RSS.MS.Jan10.sum