Microsoftは米国時間8月11日、月例セキュリティパッチ「Patch Tuesday」をリリースした。
今回のパッチでは、「Edge」「Windows」「SQL Server」「.NET Framework」など13製品で120件の脆弱性が修正されている。
脆弱性120件の中には、「Critical」(緊急)と分類されたものが17件あり、ゼロデイ脆弱性も2件含まれている。
2件のゼロデイ脆弱性のうちの1件(CVE-2020-1464)は「Windows OS」に存在する。Microsoftによると、攻撃者はこの脆弱性を悪用し、「セキュリティ機能を迂回(うかい)し、不正に署名されたファイルをロードさせる」ことが可能になる恐れがある。
これまでのMicrosoftのセキュリティアドバイザリーと同様、脆弱性に関する技術的な詳細と、実際に悪用されているかどうかということについては明らかにされていない。同社がこういったアプローチを使用しているのは、脆弱性が存在する場所と悪用方法をハッカーらが推測できないようにして、他の攻撃が発生するまでの時間を長引かせるためだ。
2件目のゼロデイ脆弱性(CVE-2020-1380)は、「Internet Explorer」(IE)に搭載されているスクリプティングエンジンに存在している。
Microsoftによると、IEのスクリプティングエンジン内に存在しているリモートコード実行(RCE)の脆弱性をハッカーが発見し、実際に悪用しているという報告をKaspersky Labから受け取ったという。
この脆弱性自体はIEのスクリプティングエンジンに存在しているものだが、「Microsoft Office」スイートといったネイティブなMicrosoftアプリにも影響が及ぶという。
Officeアプリが文書内にウェブページを埋め込み/描画する際に、IEのスクリプティングエンジンが大きな役割を果たすためだ。
8月の月例パッチの詳細、Microsoft以外の主な企業が公開しているセキュリティアップデートの情報は以下の通りだ。
- Microsoftの公式ポータル「Security Update Guide」には、すべてのセキュリティ更新プログラムがフィルタリング可能な表にまとめられている。
- 米ZDNetもセキュリティアップデートについて1ページにまとめて掲載している。
- Adobe関連のセキュリティ更新情報は、公式サイトで詳しく説明されている。
- SAP関連のセキュリティ更新は公式サイトで公開されている。
- VMware関連のセキュリティ更新は、公式サイトで詳しく説明される。
- Oracleの四半期パッチ(2020年7月版)は、公式サイトで詳しく説明されている。
- 「Chrome 84」のセキュリティアップデートは、公式サイトで詳しく説明されている。
- 2020年8月の「Android Security Bulletin」も公開されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。