マイクロソフト、9月の月例セキュリティパッチ--「MSHTML」の脆弱性など対処

Charlie Osborne (ZDNET.com) 翻訳校正: 編集部

2021-09-15 11:40

 Microsoftは米国時間9月14日、9月の月例セキュリティパッチ「Patch Tuesday」をリリースした。約60件の脆弱性が修正されている。「MSHTML」に存在するリモートコード実行(RCE)の脆弱性も修正された。

 9月のセキュリティアップデートでは、「Azure Open Management Infrastructure」「Azure Sphere」「Excel」「PowerPoint」「Word」「Access」「Windowsカーネル」「Visual Studio」「Microsoft Windows DNS」「BitLocker」などをはじめとする製品が影響を受ける。

 同社は9月7日に、MSHTMLのRCE脆弱性が確認され、「Windows」システムに対する一部の攻撃で悪用されていることを明らかにした。共通脆弱性識別子「CVE-2021-40444」が付与されたこのゼロデイ脆弱性は、今回のパッチで対処されている。同社はユーザーに対し、ただちに適用するよう強く推奨している。

 今回のパッチではこの他にも、以下の注目すべき脆弱性が修正されている。

  • CVE-2021-38647:この脆弱性は、今回のパッチのなかで最も緊急性が高いものとなっている(CVSSスコア9.8)。これは「Open Management Infrastructure(OMI)」プログラムに影響を与えるもので、攻撃者はHTTP/Sを介して悪意あるメッセージをポート5986に送信し、RCE攻撃を実行できるようになる恐れがある。

 Microsoftは、「『Configuration Management』といった一部の『Microsoft Azure』製品は、OMIとのやり取りのためにHTTP/Sポート(WinRMポートとしても知られているポート番号5986)を公開しており、HTTP/Sリスナーが有効化されているこの設定によってRCEが可能になる。なお、OMIを使用するほとんどのAzureサービスは、HTTP/Sポートを公開せずに配備している点を指摘しておきたい」とウェブページで説明している。

  • CVE-2021-36968:Windows DNSの特権昇格に関する脆弱性(CVSSスコア7.8)。現時点で悪用された形跡は確認されていない。
  • CVE-2021-26435:Windowsのスクリプティングエンジンに存在する重大な問題(CVSSスコア8.1)。ただし、このメモリー破壊の脆弱性を悪用するには、ユーザーインタラクションが必要となる。
  • CVE-2021-36967:「Windows WLAN AutoConfig」サービスに存在し、特権昇格に利用できる重大な脆弱性(CVSSスコア8.0)。

 Microsoftのセキュリティアップデート以外にも、各社からセキュリティアップデートが公開されている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    KADOKAWAらの事例に学ぶ、2024年サイバー攻撃の傾向と対策

  2. セキュリティ

    MDMのよくある“12の悩み”を解決!Apple製品のMDMに「Jamf」を選ぶべき理由を教えます

  3. ビジネスアプリケーション

    生成AIをビジネスにどう活かす?基礎理解から活用事例までを網羅した実践ガイド

  4. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  5. セキュリティ

    「100人100通りの働き方」を目指すサイボウズが、従業員選択制のもとでMacを導入する真の価値

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]