ここから本文です

マイクロソフトの月例パッチ、49件のセキュリティ脆弱性を修正

1/15(水) 12:41配信

ZDNet Japan

 Microsoftは米国時間1月14日、月例セキュリティ更新プログラムをリリースした。1月の更新には、49件の脆弱性に対する修正が含まれており、そのうちの8件は深刻度が「緊急」に分類されている。

 今回修正された脆弱性のうちで特筆すべきものは、「Windows」における暗号化APIである「CryptoAPI」(Crypt32.dll)の脆弱性(「CVE-2020-0601」)だ。この脆弱性は、米国家安全保障局(NSA)が発見し、Microsoftに報告した。攻撃者はこの脆弱性が悪用し、偽のコード署名証明書を使用したり、中間者攻撃を実行したりできる恐れがあるという。

 今回の更新プログラムにはこの他にも、適用が必須と言える深刻な脆弱性が2件含まれている。これらはいずれも「Windows Server 2016」や「Windows Server 2012」に影響する。

 これらのシステムで稼働している「Windows Remote Desktop Gateway」(RD Gateway)コンポーネントには、遠隔地からのコード実行を引き起こす可能性のある脆弱性が存在する。その結果、攻撃者は特殊な細工を施したリクエストを作成し、RDP接続を開始したうえで、そのリクエストを送信することで、脆弱性を抱えたWindowsサーバーを乗っ取れるようになる恐れがある。

 これら2つの脆弱性(「CVE-2020-0609」および「CVE-2020-0610」)は、RDPの認証プロセスが開始される前に悪用できるうえ、サーバー管理者などによる操作も必要としない。

 1月の月例パッチは、2019年における多くの月例パッチよりも規模が小さいものとなっているが、上述した3つの脆弱性を見れば分かるとおり、重要性が低いというわけではまったくない。

 1月の月例パッチでは、Windowsのほか、「Internet Explorer」「ASP.NET」「.NET Framework」「Microsoft Dynamics」」OneDrive for Android」「Microsoft Office」「Microsoft Office Service」「Web Apps」などの修正が含まれている。

Microsoftの公式ポータル「Security Update Guide」には、すべてのセキュリティ更新プログラムがフィルタリング可能な表にまとめられている。
米ZDNetも要点を1ページにまとめて掲載している。
SANS ISC、Trend Microも月例パッチについてさらなる解説を公開している。
Adobe関連のセキュリティ更新情報は、公式ウェブサイトで詳しく説明されている。
SAP関連のセキュリティ更新プログラムは、公式ウェブサイトで詳しく説明されている。
VMWare関連のセキュリティ修正も公開されている。
Intel関連のセキュリティ更新情報は、公式ウェブサイトで詳しく説明されている。
Oracleの第1四半期のクリティカルパッチアップデートも公開されている。
2020年1月の「Android Security Bulletin」も公開されている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

最終更新:1/15(水) 12:41
ZDNet Japan

こんな記事も読まれています

あなたにおすすめの記事