編集部からのお知らせ
令和時代のCIOとは?
「ニューノーマルとIT」新着記事一覧

マイクロソフト、9月の月例パッチ公開--2件のゼロデイ脆弱性など80件に対応

Catalin Cimpanu (ZDNet.com) 翻訳校正: 編集部

2019-09-11 12:44

 Microsoftは米国時間9月10日、9月分の月例パッチを公開した。15製品にまたがるセキュリティまわりの問題80件が修正されている。

アップデート画面

 80件のうち2件はゼロデイ脆弱性と呼ばれる、パッチのリリース前に悪用が確認されていたものだ。

 これら2件のゼロデイ脆弱性には共通脆弱性識別子として「CVE-2019-1214」と「CVE-2019-1215」が割り当てられている。2件はいずれも特権昇格(EoP)に関する脆弱性だ。この種の脆弱性はたいていの場合、悪意あるコードを管理者権限で実行しようとする、(既に標的のホスト上に存在している)マルウェアによって悪用される。

 1件目のCVE-2019-1214は、「Windows Common Log File System」(CLFS)ドライバーに存在しているEoPに関する脆弱性だ。そして、2件目のCVE-2019-1215は「ws2ifsl.sys」(Winsock)サービスに影響を与えるものだ。

 今回の月例パッチも最近の月例パッチの例に漏れず、大きなサイズとなっている。最近の月例パッチは肥大化を続けており、対処する問題の数は常に70を超えるまでになっている。

 また、これも最近の月例パッチと同様、Microsoftは「Remote Desktop Protocol」(RDP)に存在していた、遠隔地からのコード実行にまつわる脆弱性も修正した。今回は「CVE-2019-1290」および「CVE-2019-1291」の2件だ。

 いずれの脆弱性もMicrosoft社内のチームによって発見されたものだ。5月と8月にそれぞれ公開された脆弱性である「BlueKeep」や「DejaBlue」は、自動的に拡散するワームの性質を持つマルウェアや攻撃を作り出すために悪用できると警告されていたが、今回の2件はその点について言及されていない。

 またシステム管理者は、Adobe SystemsSAPが同日付けでリリースしたパッチもインストールしておくべきだろう。

 今回の月例パッチに関する詳細情報はMicrosoftの「Security Update Guide」ポータルにて公開されている。また米ZDNetがまとめたレポートトレンドマイクロがまとめた情報も公開されている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュアなテレワークでビジネスを継続する「緊急時対応チェックリスト」

  2. クラウドコンピューティング

    ゼロトラストネットワークアクセス(ZTNA)を今すぐ採用すべき理由

  3. ビジネスアプリケーション

    今からでも遅くない、在宅勤務への本格移行を可能にする環境整備のポイント

  4. クラウド基盤

    アプリ開発者とIT管理者、両者のニーズを両立させるプラットフォームとは?

  5. ビジネスアプリケーション

    テレワークに立ちはだかる「紙・ハンコ」の壁を経費精算のペーパーレス化からはじめて乗り越える

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]