Microsoftは米国時間6月11日にいわゆる「月例パッチ」を公開した。同社は6月の月例パッチで88件の脆弱性を修正しており、そのうち21件は、同社の基準でもっとも高い深刻度である「緊急」に分類されている。
提供:Microsoft
さらに、2019年6月の月例パッチには、SandboxEscaperと呼ばれる攻撃コードを販売しているセキュリティ研究者が5月に公開した5件のゼロデイ脆弱性のうち、4件(CVE-2019-1069、CVE-2019-1053、CVE-2019-1064、CVE-2019-0973)に対する修正が含まれている。
5番目のゼロデイ脆弱性については、詳細の公表が6月7日と最近だったため、今回の月例パッチでは対応されていない。
幸い、これら4件の脆弱性については、詳しい情報と攻撃に利用可能な概念実証コードが公開されているにも関わらず、まだ既存のマルウェアキャンペーンで利用されている兆候はないという。
その他の重要な修正内容
Microsoftは「Windows」や「Office」製品だけでなく、「HoloLens」のファームウェアアップデートに関するセキュリティアドバイザリも公開している。
同社は今回、HoloLensに使用されているBroadcomの無線チップセットに影響がある、4件のリモートからコードを実行可能な脆弱性を修正した(CVE-2019-9500、CVE-2019-9501、CVE-2019-9502、CVE-2019-9503)。
また今回の月例パッチで修正された問題には、他にもリモートからコードを実行可能な脆弱性が多く含まれており、「Chakra Scripting Engine」(「Edge」で使用されているエンジン)に9件、「Hyper-V」ハイパーバイザーに3件、「Microsoft Speech API」に1件、Edgeや「Internet Explorer」の両方に影響を及ぼすものなどが存在する。
Bluetooth Law Energyを使用した一部セキュリティキーの問題に対応
さらに同社は、今回のパッチを適用すると、Bluetoothを使用した一部のセキュリティキーがWindowsで使用できなくなると警告している。
具体的に言えば、同社が指しているのは、Bluetoothのペアリングプロトコルに攻撃者が悪用可能な問題が発見されたFeitan製のセキュリティキーとGoogle製のセキュリティキー「Titan」のことだ。
GoogleとFeitanは、無料で対象製品の交換に応じている。
その他
Microsoftが月例パッチを公開するタイミングに合わせて、AdobeやSAPもセキュリティアップデートを公開している。それらの情報にも注意を払ってほしい。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
