Microsoftは米国時間9月14日、9月の月例セキュリティパッチ「Patch Tuesday」をリリースした。約60件の脆弱性が修正されている。「MSHTML」に存在するリモートコード実行(RCE)の脆弱性も修正された。
9月のセキュリティアップデートでは、「Azure Open Management Infrastructure」「Azure Sphere」「Excel」「PowerPoint」「Word」「Access」「Windowsカーネル」「Visual Studio」「Microsoft Windows DNS」「BitLocker」などをはじめとする製品が影響を受ける。
同社は9月7日に、MSHTMLのRCE脆弱性が確認され、「Windows」システムに対する一部の攻撃で悪用されていることを明らかにした。共通脆弱性識別子「CVE-2021-40444」が付与されたこのゼロデイ脆弱性は、今回のパッチで対処されている。同社はユーザーに対し、ただちに適用するよう強く推奨している。
今回のパッチではこの他にも、以下の注目すべき脆弱性が修正されている。
- CVE-2021-38647:この脆弱性は、今回のパッチのなかで最も緊急性が高いものとなっている(CVSSスコア9.8)。これは「Open Management Infrastructure(OMI)」プログラムに影響を与えるもので、攻撃者はHTTP/Sを介して悪意あるメッセージをポート5986に送信し、RCE攻撃を実行できるようになる恐れがある。
Microsoftは、「『Configuration Management』といった一部の『Microsoft Azure』製品は、OMIとのやり取りのためにHTTP/Sポート(WinRMポートとしても知られているポート番号5986)を公開しており、HTTP/Sリスナーが有効化されているこの設定によってRCEが可能になる。なお、OMIを使用するほとんどのAzureサービスは、HTTP/Sポートを公開せずに配備している点を指摘しておきたい」とウェブページで説明している。
- CVE-2021-36968:Windows DNSの特権昇格に関する脆弱性(CVSSスコア7.8)。現時点で悪用された形跡は確認されていない。
- CVE-2021-26435:Windowsのスクリプティングエンジンに存在する重大な問題(CVSSスコア8.1)。ただし、このメモリー破壊の脆弱性を悪用するには、ユーザーインタラクションが必要となる。
- CVE-2021-36967:「Windows WLAN AutoConfig」サービスに存在し、特権昇格に利用できる重大な脆弱性(CVSSスコア8.0)。
Microsoftのセキュリティアップデート以外にも、各社からセキュリティアップデートが公開されている。
- Adobeのセキュリティアップデート
- SAPのセキュリティアップデート
- VMWareのセキュリティアドバイザリー
- Intelのセキュリティアップデート
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
