マイクロソフト、10月の月例パッチ公開--ゼロデイ脆弱性1件など修正

Charlie Osborne (ZDNET.com) 翻訳校正: 編集部

2021-10-13 13:39

 Microsoftは米国時間10月12日、10月の月例セキュリティパッチ「Patch Tuesday」をリリースした。脆弱性約70件が修正されている。「Windows OS」のコアコンポーネント「Win32k」に潜んでおり、現在活発に悪用されている脆弱性も含まれる。

 10月のセキュリティアップデートでは、「Microsoft Office」「Azure Sphere」「Exchange Server」「MSHTML」「Visual Studio」「Edge」などをはじめとする製品が影響を受ける。

 今回修正された主なゼロデイ脆弱性は「CVE-2021-40449」だ。

 CVE-2021-40449の脆弱性は現在、活発に悪用されている。Win32kカーネルドライバーに影響を与える脆弱性だ。共通脆弱性評価システム(CVSS)の深刻度は7.8と評価されている。この脆弱性は、Kaspersky LabのBoris Larin氏(oct0xor)によってMicrosoftに報告されたものだ。Larin氏らは12日付のブログで、「MysterySnail RAT」という一連のアクティビティーが、この脆弱性解放済みメモリーの使用(UAF)の脆弱性を悪用していると説明している。

 また同氏は、「われわれは、実際に悪用されているこのゼロデイ脆弱性を発見した後、それとともに用いられているマルウェアのペイロードを分析した。その結果、IT企業や、軍事/防衛関連企業、外交機関に対する広範な諜報キャンペーンで検出されているマルウェアの亜種を発見した」としている。

 このほか、Windows AppContainerファイアウォール規則のセキュリティ機能バイパスの脆弱性「CVE-2021-41338」(CVSS 5.5)、Windows DNSサーバーのリモートでコードが実行される(RCE)脆弱性「CVE-2021-40469」(CVSS 7.2)、Windows カーネルの特権の昇格の脆弱性だCVE-2021-41335」(CVSS 7.8)は詳細が一般に公開されている。

 Microsoftのセキュリティアップデート以外にも、各社からセキュリティアップデートが公開されている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  5. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]