編集部からのお知らせ
Topic 本人認証の重要性
宇宙ビジネスの記事まとめダウンロード

マイクロソフト、4月の月例パッチを公開--3件のゼロデイ脆弱性も

Catalin Cimpanu (ZDNet.com) 翻訳校正: 編集部

2020-04-15 12:43

 Microsoftは米国時間4月14日、いわゆる「月例パッチ」を公開した。今回のアップデートは規模が大きく、11製品に存在する113件の脆弱性を修正するセキュリティ更新プログラムがリリースされた。これには、既に悪用されている3件のゼロデイ脆弱性が含まれる。

Microsoft
提供:ZDNet

 通例通り、ゼロデイ脆弱性の詳細は明らかにされていない。ゼロデイ攻撃に関する詳しい情報は、ユーザーがアップデートを適用するまで攻撃者が概念実証コードを開発できないように、数日から数週間は公にされないのが一般的になっている。

 今回修正された3件のゼロデイ脆弱性は次のようなものだ。

 CVE-2020-1020:Windows Adobe Type Managerライブラリに存在する脆弱性。攻撃者がこの脆弱性を悪用した場合、対象システムでリモートからコードが実行される可能性がある。Windows 10はこの脆弱性の影響を受けない。このゼロデイ脆弱性の詳細が公開されたのは3月のことだが、これまでパッチはリリースされていなかった。

 CVE-2020-0938:これも上記と同じく、Windows Adobe Type Managerライブラリに存在する脆弱性だ。このバグは前述のものと似ている部分もあるが、それとは違い、これまで存在が明らかにされていなかった。Microsoftが3月に公開した緩和策を適用していれば、この脆弱性を悪用する攻撃もブロックされていたはずだ。

 CVE-2020-1027:Windowsカーネルに存在する脆弱性。攻撃者がこの脆弱性を悪用した場合、昇格された特権でカーネルにアクセス可能なコードを実行される可能性がある。

 月例パッチで提供されるアップデートはまとめて配布されるため、今回のアップデートを適用すれば、3件のゼロデイ脆弱性と、その他の109件のバグは、全て一度に修正される。

 Microsoftは、全てのセキュリティ更新プログラムをフィルタリングしながら参照可能な「セキュリティ更新プログラムガイド」を提供している。

 また米ZDNetがまとめたページでは、今回公開された全てのセキュリティ更新プログラムを一覧できる。

 Microsoft以外の主な企業が公開したセキュリティ更新は以下の通り。

  • Adobe関連のセキュリティ更新情報は、公式ウェブサイトで詳しく説明されている。
  • SAP関連のセキュリティ更新も公式ウェブサイトで詳しく説明されている。
  • VMware関連のセキュリティ更新も、公式ウェブサイトで詳しく説明されている。
  • 「Google Chrome」のセキュリティ更新情報は先週リリースされた。
  • Oracleの4月の「Critical Patch Updates」も公開されている。
  • 2020年4月の「Android Security Bulletin」も公開されている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]