マイクロソフトは13日、月例で提供しているセキュリティ更新プログラムの1月分を公開した。2010年最初の更新プログラムは1件で、Windowsに含まれる1件の緊急の脆弱性を解消するため、対象となるユーザーは早期のパッチ適用が推奨されている。
Embedded OpenType フォント エンジンの脆弱性により、リモートでコードが実行される (972270)(MS10-001)
「EOT(Embedded OpenType)フォント」は、Microsoft Wordドキュメントに埋め込んだり、Webページ作成の際にサーバ上の.eotファイルへのリンクを使うことで、制作者側の意図したとおりにページを表示するといった用途で使われる。
MS10-001は、この「EOT(Embedded OpenType)フォント」を表示するエンジンに問題があり、特別な細工をされたファイルや埋め込みフォントの表示の際に整数オーバーフローが発生するというもの。
たとえばメールなどで送られたWordやPowerPointのファイル、.eotへのリンクが含まれるWebサイトの表示で攻撃が行われ、メールのプレビュー表示でも同様に攻撃が行われる。
対象となるのは、現在サポートされているすべてのOSで、Windows 2000 / XP / Vista / 7 /Server 2003 / 2008 / 2008 R2だが、OSとして攻撃の可能性があるのはWindows 2000のみで、その他のOSは問題のあるコードを使用したサードパーティ製ソフトが攻撃を受ける可能性がある。そのため、危険度を表す最大深刻度は、Windows 2000が「緊急」、それ以外が「注意」で全体としては「緊急」となっている。悪用されやすさを示す「悪用可能性指標」は「2」だ。
