Microsoftが月例セキュリティパッチ「Patch Tuesday」をリリースし、実際に悪用されていたゼロデイ脆弱性を含む55件の脆弱性を修正した。
毎月米国時間第2火曜日にリリースされる最新のPatch Tuesdayには、重大な脆弱性6件、15件のリモートコード実行(RCE)バグ、情報漏えい、特権昇格の脆弱性、なりすましや改ざんにつながる可能性のある問題の修正が含まれる。
11月のセキュリティ更新プログラムの影響を受ける製品は、「Microsoft Azure」「Chromium」ベースの「Edge」ブラウザー、「Microsoft Office」(そして「Excel」「Word」「SharePoint」などの関連製品)、「Visual Studio」「Exchange Server」「Windows Kernel」「Windows Defender」などだ。
今回のPatch Tuesdayで修正された興味深い脆弱性は以下の通りだ。すべて重要と評価されている。
- 「CVE-2021-42321」(CVSS:3.1 8.8 / 7.7)。この脆弱性は、実際に悪用されており、Microsoft Exchange Serverに影響を及ぼす。コマンドレット引数の不適切な検証が原因で、リモートでコードが実行されるおそれがある。ただし、攻撃者は認証を通過する必要がある。
- 「CVE-2021-42292」(CVSS:3.1 7.8 / 7.0)。この脆弱性も、実際に悪用されていることが確認されている。Microsoft Excelのバグで、セキュリティ機能をバイパスするのに利用できる。Microsoftによると、プレビューウィンドウは攻撃対象にならないという。現在のところ、「Microsoft Office 2019 for Mac」と「Microsoft Office LTSC for Mac 2021」向けのパッチは提供されていない。
- 「CVE-2021-43209」(CVSS:3.1 7.8 / 6.8)。これはすでに公表済みの「3D Viewer」の脆弱性だ。ローカルで悪用されると、リモートでコードが実行される可能性がある。
- 「CVE-2021-43208」(CVSS:3.1 7.8 / 6.8)。これも3D Viewerの既知の問題である。ローカルの攻撃者によって悪用されると、リモートでコードが実行される可能性がある。
- 「CVE-2021-38631」(CVSS:3.0 4.4 / 3.9)。これもすでに公表済みだ。この「Windows Remote Desktop Protocol」(RDP)のセキュリティ脆弱性を悪用されると、情報が漏えいするおそれがある。
- 「CVE-2021-41371」(CVSS:3.1 4.4 / 3.9)。最後に、パッチのリリース前から知られていたこのRDPの脆弱性も、ローカルで悪用されると、情報が漏えいするおそれがある。
Microsoftのセキュリティアップデート以外にも、各社からセキュリティアップデートが公開されている。
- Adobeのセキュリティアップデート
- SAPのセキュリティアップデート
- VMWareのセキュリティアドバイザリー
- Intelのセキュリティアップデート
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
