マイクロソフトが1月の月例パッチ7件を公開、XMLコアサービスなどの脆弱性を修正

 日本マイクロソフト株式会社は9日、月例のセキュリティ更新プログラムとセキュリティ情報7件を公開した。脆弱性の最大深刻度は、4段階で最も高い"緊急"が2件、2番目に高い"重要"が5件。

 最大深刻度が"緊急"のセキュリティ情報は、「MS13-001」「MS13-002」の2件。

 「MS13-001」は、Windows印刷スプーラーコンポーネントに関する1件の脆弱性を修正する。脆弱性が悪用された場合、プリントサーバーが特別に細工された印刷ジョブを受信することで、リモートでコードが実行される可能性がある。影響を受けるOSはWindows 7とWindows Server 2008 R2のみ。

 「MS12-002」は、XMLコアサービスに関する2件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページを表示することで、リモートでコードを実行される可能性がある。影響を受けるOSはWindows 8/RT/7/Vista/XPおよびWindows Server 2012/2008 R2/2008/2003。このほかOffice関連ではOffice 2007/2003、Word Viewer、Office互換機能パック、開発者用ツールではExpression Web 2およびExpression Web、サーバーソフトではSharePoint Server 2007、Groove Server 2007と、多数のソフトも影響を受ける。

 最大深刻度が"重要"のセキュリティ情報は、System Center Operations Managerの脆弱性を修正する「MS13-003」、.NET Frameworkの脆弱性を修正する「MS13-004」、Windowsカーネルモードドライバーの脆弱性を修正する「MS13-005」、Windowsの脆弱性を修正する「MS13-006」、Open Dataプロトコル関連の脆弱性を修正する「MS13-007」の計5件。

 このほか、Internet Explorer(IE) 10向けに、内蔵Flash Playerをアップデートするための更新プログラム「KB2796096」が提供されている。

 また、12月末にはIE 8/7/6の未修正の脆弱性を悪用する標的型攻撃が確認されているが、今回の月例修正パッチではこの脆弱性は修正されていない。マイクロソフトでは現在修正パッチを開発中としており、修正パッチを提供するまでの対策として、攻撃の回避策となるツール「Fix it」を提供している。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130109_581029.html