Microsoftは米国時間7月14日、月例セキュリティパッチ「Patch Tuesday」をリリースした。
今回のパッチでは13製品にわたって123件の脆弱性が修正されている。これらの脆弱性のなかに、既に悪用されているものはない。
今回対処されたなかで最も深刻な脆弱性は、「Windows Server」のDNSコンポーネントに存在しているものだ(CVE-2020-1350)。Check Pointの研究者らによって発見されたこの脆弱性は、10段階の深刻度スコアで10とされており、同研究者らによるとワーム化(自己増殖)が可能なマルウェアを生み出すために簡単に悪用できるという。
今回のパッチでは、以下の製品に存在するリモートコード実行にまつわる深刻な脆弱性も修正されている。
- ハイパーバイザー技術「Hyper-V」の「RemoteFX vGPU」コンポーネント(CVE-2020-1041、CVE-2020-1040、CVE-2020-1032、CVE-2020-1036、CVE-2020-1042, CVE-2020-1043)
- 一部の「Office」アプリケーションに搭載されている「Microsoft Jet Database Engine」(CVE-2020-1400、CVE-2020-1401、CVE-2020-1407)
- Microsoft Word (CVE-2020-1446、CVE-2020-1447、CVE-2020-1448)
- Microsoft Excel (CVE-2020-1240)
- Microsoft Outlook (CVE-2020-1349)
- Microsoft SharePoint (CVE-2020-1444)
- LNK(CVE-2020-1421)
- さまざまなWindowsグラフィックスコンポーネント(CVE-2020-1435、CVE-2020-1408、CVE-2020-1412、CVE-2020-1409、CVE-2020-1436、CVE-2020-1355)
これらの「リモートコード実行」にまつわる脆弱性は、ハッカーが悪用した場合、遠隔地から標的とするシステムに対する攻撃シナリオを実行できるようになるというものだ。
7月の月例パッチの詳細、Microsoft以外の主な企業が公開しているセキュリティアップデートの情報は以下の通りだ。
- Microsoftの公式ポータル「Security Update Guide」には、すべてのセキュリティ更新プログラムがフィルタリング可能な表にまとめられている。
- 米ZDNetもセキュリティアップデートについて1ページにまとめて掲載している。
- Adobe関連のセキュリティ更新情報は、公式サイトで詳しく説明されている。
- SAP関連のセキュリティ更新は公式サイトで公開されている。
- VMware関連のセキュリティ更新は、公式サイトで詳しく説明される。
- Oracleの四半期パッチ(2020年7月版)は、公式サイトで詳しく説明されている。
- 「Chrome 84」のセキュリティアップデートは、公式サイトで詳しく説明されている。
- 2020年7月の「Android Security Bulletin」も公開されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。