マイクロソフト、月例セキュリティ更新(1月) - 「緊急」1件、「重要」7件の脆弱性

○Windows Application Compatibility Cache の脆弱性により、特権が昇格される (3023266)(MS15-001)

MS15-001は、Windowsのバージョン違いによって動作しないアプリケーションの互換性を確保するためのMicrosoft Windows Application Compatibility Infrastructure(AppCompat)に、呼び出し元偽装トークンの承認が不適切なため、特権の昇格が起こるという脆弱性。

ユーザーが特別に細工されたアプリケーションを実行した場合に攻撃が行われ、AppCompatでキャッシュ変更をする間に実行されるはずの既存の権限チェックがバイパスされる危険性があり、その場合、昇格された特権で任意のコードが実行される。悪用は確認されていないが、すでに脆弱性の情報は一般に公開されているという。

対象となるのは、Windows 7/8/8.1/RT/RT 8.1、Server 2008 R2/2012/2012 R2。最大深刻度は「重要」、悪用可能性指標は「2」となっている。

○Windows User Profile Service の脆弱性により、特権が昇格される (3021674)