マイクロソフト、7月の月例パッチ--「Pwn2Own」で発見された脆弱性も修正

Charlie Osborne (ZDNET.com) 翻訳校正: 編集部

2021-07-14 12:49

 Microsoftは米国時間7月13日、月例パッチ「Patch Tuesday」をリリースした。合計117件の脆弱性が修正されている。ハッキングコンテスト「Pwn2Own」の参加者が発見した、「Microsoft Exchange Server」に潜むリモートコード実行(RCE)の脆弱性も対象となった。

 RCEのほか、特権昇格や、スプーフィング、メモリー破壊、情報漏えいなどの脆弱性が修正された。13件は「Critical」(緊急)に分類されており、9件はゼロデイ脆弱性だ。ゼロデイ脆弱性のうちの4件は活発に悪用されている。

 最新のセキュリティアップデートで影響を受けるのは、「Microsoft Office」「SharePoint」「Excel」「Microsoft Exchange Server」「Windows Defender」「Windows Kernel」「Windows SMB」などだ。

 今回のパッチで対処された脆弱性の中で、最も興味深いものを以下に挙げる。

  • CVE-2021-31206:「Microsoft Exchange Server」に潜んでいたRCEの脆弱性(Pwn2Ownで発見された)
  • CVE-2021-34448:スクリプティングエンジンのメモリー破壊の脆弱性(被害者は悪意のあるウェブサイトに自ら訪問するか、悪意のあるリンクをクリックする必要がある)。活発に悪用されている。
  • CVE-2021-34494:「Windows DNS Server」に潜んでいたRCEの脆弱性(DNSサーバーにのみ影響が及んでいる)
  • CVE-2021-34458:「Windows Kernel」に潜んでいたRCEの脆弱性(これにより、ゲストに割り当てられたSingle Root I/O Virtualization(SR-IOV)デバイスが、関連するPCIeデバイスを改ざんできるようになる可能性がある)

 Windowsに存在する印刷スプーラーの脆弱性(CVE-2021-34527、通称「PrintNightmare」)を修正するセキュリティパッチは先週、定例外で一部のバージョン向けにリリースされている。

 実際に悪用されている脆弱性4件は、CVE-2021-34527(PrintNightmare)、CVE-2021-34448CVE-2021-31979CVE-2021-33771だ。

 Microsoftによる月例パッチのほか、以下のベンダーもセキュリティアップデートを公開している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]