Microsoftは米国時間4月14日、いわゆる「月例パッチ」を公開した。今回のアップデートは規模が大きく、11製品に存在する113件の脆弱性を修正するセキュリティ更新プログラムがリリースされた。これには、既に悪用されている3件のゼロデイ脆弱性が含まれる。
提供:ZDNet
通例通り、ゼロデイ脆弱性の詳細は明らかにされていない。ゼロデイ攻撃に関する詳しい情報は、ユーザーがアップデートを適用するまで攻撃者が概念実証コードを開発できないように、数日から数週間は公にされないのが一般的になっている。
今回修正された3件のゼロデイ脆弱性は次のようなものだ。
CVE-2020-1020:Windows Adobe Type Managerライブラリに存在する脆弱性。攻撃者がこの脆弱性を悪用した場合、対象システムでリモートからコードが実行される可能性がある。Windows 10はこの脆弱性の影響を受けない。このゼロデイ脆弱性の詳細が公開されたのは3月のことだが、これまでパッチはリリースされていなかった。
CVE-2020-0938:これも上記と同じく、Windows Adobe Type Managerライブラリに存在する脆弱性だ。このバグは前述のものと似ている部分もあるが、それとは違い、これまで存在が明らかにされていなかった。Microsoftが3月に公開した緩和策を適用していれば、この脆弱性を悪用する攻撃もブロックされていたはずだ。
CVE-2020-1027:Windowsカーネルに存在する脆弱性。攻撃者がこの脆弱性を悪用した場合、昇格された特権でカーネルにアクセス可能なコードを実行される可能性がある。
月例パッチで提供されるアップデートはまとめて配布されるため、今回のアップデートを適用すれば、3件のゼロデイ脆弱性と、その他の109件のバグは、全て一度に修正される。
Microsoftは、全てのセキュリティ更新プログラムをフィルタリングしながら参照可能な「セキュリティ更新プログラムガイド」を提供している。
また米ZDNetがまとめたページでは、今回公開された全てのセキュリティ更新プログラムを一覧できる。
Microsoft以外の主な企業が公開したセキュリティ更新は以下の通り。
- Adobe関連のセキュリティ更新情報は、公式ウェブサイトで詳しく説明されている。
- SAP関連のセキュリティ更新も公式ウェブサイトで詳しく説明されている。
- VMware関連のセキュリティ更新も、公式ウェブサイトで詳しく説明されている。
- 「Google Chrome」のセキュリティ更新情報は先週リリースされた。
- Oracleの4月の「Critical Patch Updates」も公開されている。
- 2020年4月の「Android Security Bulletin」も公開されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。