Microsoftは米国時間1月12日、月例セキュリティパッチ「Patch Tuesday」をリリースした。
今回のパッチでは、「Windows OS」や、クラウドベースの製品、開発者向けツール、企業向けサーバー製品を含むさまざまな製品に潜んでいた合計83件の脆弱性が修正されている。
今回のパッチで修正された中で最も重要なのは、ウイルス対策プログラム「Windows Defender」に存在するゼロデイ脆弱性だ。Microsoftによると、この脆弱性を悪用した攻撃が既に確認されているという。
共通脆弱性識別子として「CVE-2021-1647」が割り当てられたこの脆弱性は、リモートコード実行(RCE)に関する問題とされており、ユーザーをだまして、Defenderがインストールされているシステムで悪意あるドキュメントをオープンするよう仕向けることで、脅威アクターは脆弱性を抱えたデバイスでコードを実行できるようになる可能性がある。
Microsoftによると、この脆弱性が実際に悪用されていることを検出しているものの、あらゆる状況で機能しておらず、依然として概念実証(PoC)レベルにとどまっていると考えられるという。
今後の攻撃に備えるため、Microsoftは「Microsoft Malware Protection Engine」に対するパッチをリリースした。このパッチは、システム管理者によってブロックされている場合を除き、自動的にインストールされる。
Defenderのゼロデイ脆弱性のほか、同社はWindowsの「splwow64」サービスに存在しているセキュリティ問題も修正した。この問題を悪用することで、攻撃者は自らのコードの特権昇格につなげられる可能性がある。
この脆弱性については「CVE-2021-1648」として、詳細が公開されている。Trend MicroのZero Day Initiativeプロジェクトなどが12月15日に明らかにした。Microsoftによると、この脆弱性は悪用されていない。
1月の月例パッチの詳細、Microsoft以外の主な企業が公開しているセキュリティアップデートの情報は以下の通りだ。
- Microsoftの公式ポータル「Security Update Guide」には、すべてのセキュリティ更新プログラムがフィルタリング可能な表にまとめられている。
- 米ZDNetもセキュリティアップデートについて1ページにまとめて掲載している。
- Adobe関連のセキュリティ更新情報は、公式サイトで詳しく説明されている。
- SAP関連のセキュリティ更新は公式サイトで公開されている。
- Intel関連のセキュリティ更新は公式サイトで公開されている。
- VMware関連のセキュリティ更新は、公式サイトで詳しく説明される。
- 「Chrome 87」のセキュリティアップデートは、公式サイトで詳しく説明されている。
- 1月の「Android Security Bulletin」も公開されている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
