Microsoftは米国時間9月8日、月例セキュリティパッチ「Patch Tuesday」をリリースした。今回のパッチでは、「Windows」や「ASP.NET」など複数の製品で129件の脆弱性が修正されている。
129件の脆弱性のうち、リモートコード実行(RCE)に関するものは32件あった。
32件のうちの20件ほどが、同社の深刻度評価で最高レベルの「緊急」(Critical)に分類されている。RCEの脆弱性には以下がある。
- Windows (CVE-2020-1252)
- Microsoft Dynamics 365システム(オンプレミス)(CVE-2020-16857、CVE-2020-16862)
- Windows Graphics Device Interface (GDI) (CVE-2020-1285)
- Microsoft SharePoint (CVE-2020-1200、CVE-2020-1210、CVE-2020-1452、CVE-2020-1453、CVE-2020-1576、CVE-2020-1595)
- Microsoft SharePoint Server (CVE-2020-1460)
- Windows Media Audio Decoder (CVE-2020-1593、CVE-2020-1508)
- Microsoft COM for Windows (CVE-2020-0922)
- Windows Text Service Module (CVE-2020-0908)
- Microsoft Windows Codecs Library (CVE-2020-1319、CVE-2020-1129)
- Windows Camera Codec Pack (CVE-2020-0997)
- Visual Studio (CVE-2020-16874)
上記の脆弱性はすべて深刻かもしれないが、アタックサーフェスの大きいWindowsと、大企業のネットワークにインストールされていることが多い「SharePoint」や「Microsoft Dynamics 365」に関する脆弱性は特に深刻だといえる。
システム管理者は、これらの脅威を精査して、今回のセキュリティパッチをただちに適用するか、その適用を遅らせて自社でのテストを実施するかどうかを決定するよう推奨されている。
9月の月例パッチの詳細、Microsoft以外の主な企業が公開しているセキュリティアップデートの情報は以下の通りだ。
- Microsoftの公式ポータル「Security Update Guide」には、すべてのセキュリティ更新プログラムがフィルタリング可能な表にまとめられている。
- 米ZDNetもセキュリティアップデートについて1ページにまとめて掲載している。
- Adobe関連のセキュリティ更新情報は、公式サイトで詳しく説明されている。
- SAP関連のセキュリティ更新は公式サイトで公開されている。
- Intel関連のセキュリティ更新は公式サイトで公開されている。
- VMware関連のセキュリティ更新は、公式サイトで詳しく説明される。
- 「Chrome 85」のセキュリティアップデートは、公式サイトで詳しく説明されている。
- 2020年9月の「Android Security Bulletin」も公開されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。