日本のセキュリティチーム : 2010年1月13日のセキュリティ情報 (月例)(情報元のブックマーク数)
2010年一発目のMicrosoftセキュリティ情報はWindows2000向けの緊急1件のみです。
それにしても、小野寺さん他社のアップデートまで通知とか、親切すぎですねw
事前通知でお伝えした通り、セキュリティ情報 計1件 (緊急 1件)を公開しました。
2010年1月13日のセキュリティ情報 (月例) – 日本のセキュリティチーム
合わせて、セキュリティ情報を 2 件更新、セキュリティアドバイザリを 1件新規公開しています。
また、ワンポイント セキュリティ (2010/1/13 午後公開予定)では、適用優先順情報や一覧性の高い回避策等の情報を提供しています。 (といっても、今月は一件なので優先順位情報は明確ですね)
また、最近悪用が頻繁に発生していた、Adobe Reader (PDFのリーダー)の脆弱性についても本日、更新プログラムが提供される予定ですので、弊社アドバイザリでも触れているFlash Playerと合わせて対応しておきたいものです。
Adobe Reader 9の更新は、Adobe Readerを起動して、[ヘルプ]-[アップデートの有無をチェック]で確認できるようです。(このBlogを書いている時点ではまだ、提供されていませんでした)
また、Adobe製品だけではなく、SUN Java Runtime Environment (JRE), Quicktime も利用している方は最新の状態にしておく事もおすすめします。
OpenTypeフォントを読み込むことでリモートでコードが実行される可能性とのこと。
MS10-001 (EOT):
2010年1月13日のセキュリティ情報 (月例) – 日本のセキュリティチーム
特別な細工がされたEmbedded OpenTypeフォントを読み込むことで、リモートでコードが実行される可能性があります。この脆弱性は実質的にWindows 2000のみが影響を受けます。Windows 2000以外のOSでは、理論的には脆弱性を含むコードが含まれていますが、実質的にそのコードが悪用可能な状態で使用されることはありません。
しかし、Windows 2000を引き続きりようしているユーザーは、早々に対応することをお勧めするともに、サポートが終了する2010年7月前に、Windows 7への移行を強く推奨します。サポート終了後は、セキュリティ更新プログラムの提供もサポートライフサイクルに従って終了となります。
http://www.microsoft.com/japan/technet/security/bulletin/ms10-jan.mspx
セキュリティ情報番号 タイトルおよび概要 最大深刻度および脆弱性の影響 再起動情報 影響を受けるソフトウェア MS10-001 Embedded OpenType フォント エンジンの脆弱性により、リモートでコードが実行される (972270)
このセキュリティ更新プログラムは非公開で報告された Microsoft Windows に存在する 1 件の脆弱性を解決します。この脆弱性で、ユーザーが Internet Explorer、PowerPoint、Microsoft Word などの Embedded OpenType (EOT) フォントをレンダリングできるクライアント アプリケーションで、特別な細工がされた EOT フォントでレンダリングされたコンテンツを表示した場合、リモートでコードが実行される可能性があります。攻撃者がこの脆弱性を悪用した場合、影響を受けるコンピューターを完全に制御する可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。コンピューターで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。緊急
リモートでコードが実行される再起動が必要な場合あり Microsoft Windows
ってことで、記事になっています。
米Microsoftは1月12日(日本時間13日)、事前通知の通り1件の月例セキュリティ情報を公開した。深刻度はWindows 2000でのみ「緊急」レベル、それ以外のOSでは4段階評価で最も低い「注意」レベルとなっている。
MS月例パッチ1件を公開、Flash Playerの更新情報も - ITmedia エンタープライズ
今回のセキュリティ更新プログラム「MS10-001」ではWindowsに存在するEmbedded OpenType(EOT)フォントエンジンの脆弱性に対処した。細工を施したEOTフォントでレンダリングされたコンテンツをInternet Explorer、PowerPoint、Wordなどで表示した場合、リモートでコードを実行される恐れがある。
XPに付属のFlash Player6についてのセキュリティアドバイザリーも出ていて、ついにFlashの亡霊とMSがおさらばできるみたいです。
セキュリティ情報と併せてMicrosoftは同日、Adobe Flash Playerに関するセキュリティアドバイザリー(979267)を公開した。それによると、Windows XPに付属していた「Flash Player 6」に複数の脆弱性があり、細工を施したWebページをユーザーが閲覧すると、リモートでコードを実行される恐れがある。
MS月例パッチ1件を公開、Flash Playerの更新情報も - ITmedia エンタープライズ
Flash Playerの新しいバージョンではこの問題は解決されているといい、MicrosoftはWindows XPのユーザーに対し、Flash Player 6をアンインストールしてAdobeが提供している最新版に更新するよう促している。
関連URL
- US-CERT Technical Cyber Security Alert TA10-012B -- Microsoft Windows EOT Font and Adobe Flash Player 6 Vulnerabilities
- マイクロソフト セキュリティ アドバイザリ (979267): Windows XP で提供される Adobe Flash Player 6 の脆弱性により、リモートでコードが実行される
- MS月例パッチ1件を公開、Flash Playerの更新情報も - ITmedia エンタープライズ
- Microsoft Security Bulletin Summary for December 2009
- Microsoft patches critical security issue
- MS10-001 : Windows の重要な更新
- マイクロソフト セキュリティ アドバイザリ (979267): Windows XP で提供される Adobe Flash Player 6 の脆弱性により、リモートでコードが実行される
- US-CERT Current Activity
- Windows XPユーザーはご注意--MSがFlash Playerのアップデートを呼びかけ - Zero Day - ZDNet Japan
- MS、「Windows 2000」の脆弱性に対処--アドビからも「Reader」などへパッチ:ニュース - CNET Japan
- MSが1月の月例パッチ1件を公開、Windows 2000のみ深刻度“緊急” - Enterprise Watch
- MSが1月の月例パッチ1件を公開、Windows 2000のみ深刻度“緊急” -INTERNET Watch
- 日本のセキュリティチーム : 2010年1月のワンポイントセキュリティ
- MS、「Windows 2000」の脆弱性に対処--アドビからも「Reader」などへパッチ:ニュース - CNET Japan
- JVNTA10-012B: Microsoft Windows における EOT フォント エンジンおよび Adobe Flash Player 6 の脆弱性
- Flash Player 6に脆弱性、MSがバージョンアップ呼びかけ -INTERNET Watch
- 【レポート】マイクロソフト、1月のセキュリティ情報を公開 | パソコン | マイコミジャーナル
- One Patch For January Patch Tuesday
- Windows XP同こんの「FLASH PLAYER」に脆弱性、最新版への更新を:ニュース
- 1月のMS・Adobeのセキュリティ更新を確認する -INTERNET Watch