マイクロソフトの月例パッチ、49件のセキュリティ脆弱性を修正

Catalin Cimpanu (Special to ZDNET.com) 翻訳校正: 編集部

2020-01-15 12:41

 Microsoftは米国時間1月14日、月例セキュリティ更新プログラムをリリースした。1月の更新には、49件の脆弱性に対する修正が含まれており、そのうちの8件は深刻度が「緊急」に分類されている。

 今回修正された脆弱性のうちで特筆すべきものは、「Windows」における暗号化APIである「CryptoAPI」(Crypt32.dll)の脆弱性(「CVE-2020-0601」)だ。この脆弱性は、米国家安全保障局(NSA)が発見し、Microsoftに報告した。攻撃者はこの脆弱性が悪用し、偽のコード署名証明書を使用したり、中間者攻撃を実行したりできる恐れがあるという。

 今回の更新プログラムにはこの他にも、適用が必須と言える深刻な脆弱性が2件含まれている。これらはいずれも「Windows Server 2016」や「Windows Server 2012」に影響する。

 これらのシステムで稼働している「Windows Remote Desktop Gateway」(RD Gateway)コンポーネントには、遠隔地からのコード実行を引き起こす可能性のある脆弱性が存在する。その結果、攻撃者は特殊な細工を施したリクエストを作成し、RDP接続を開始したうえで、そのリクエストを送信することで、脆弱性を抱えたWindowsサーバーを乗っ取れるようになる恐れがある。

 これら2つの脆弱性(「CVE-2020-0609」および「CVE-2020-0610」)は、RDPの認証プロセスが開始される前に悪用できるうえ、サーバー管理者などによる操作も必要としない。

 1月の月例パッチは、2019年における多くの月例パッチよりも規模が小さいものとなっているが、上述した3つの脆弱性を見れば分かるとおり、重要性が低いというわけではまったくない。

 1月の月例パッチでは、Windowsのほか、「Internet Explorer」「ASP.NET」「.NET Framework」「Microsoft Dynamics」」OneDrive for Android」「Microsoft Office」「Microsoft Office Service」「Web Apps」などの修正が含まれている。

  • Microsoftの公式ポータル「Security Update Guide」には、すべてのセキュリティ更新プログラムがフィルタリング可能な表にまとめられている。
  • 米ZDNetも要点を1ページにまとめて掲載している。
  • SANS ISCTrend Microも月例パッチについてさらなる解説を公開している。
  • Adobe関連のセキュリティ更新情報は、公式ウェブサイトで詳しく説明されている。
  • SAP関連のセキュリティ更新プログラムは、公式ウェブサイトで詳しく説明されている。
  • VMWare関連のセキュリティ修正公開されている。
  • Intel関連のセキュリティ更新情報は、公式ウェブサイトで詳しく説明されている。
  • Oracleの第1四半期のクリティカルパッチアップデートも公開されている。
  • 2020年1月の「Android Security Bulletin」も公開されている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]