編集部からのお知らせ
メタバース動向の記事まとめ
サイバー防衛動向の記事まとめ

マイクロソフト、11月の月例パッチ--ゼロデイ含む55件の脆弱性を修正

Charlie Osborne (ZDNet.com) 翻訳校正: 編集部

2021-11-10 12:11

 Microsoftが月例セキュリティパッチ「Patch Tuesday」をリリースし、実際に悪用されていたゼロデイ脆弱性を含む55件の脆弱性を修正した。

 毎月米国時間第2火曜日にリリースされる最新のPatch Tuesdayには、重大な脆弱性6件、15件のリモートコード実行(RCE)バグ、情報漏えい、特権昇格の脆弱性、なりすましや改ざんにつながる可能性のある問題の修正が含まれる。

 11月のセキュリティ更新プログラムの影響を受ける製品は、「Microsoft Azure」「Chromium」ベースの「Edge」ブラウザー、「Microsoft Office」(そして「Excel」「Word」「SharePoint」などの関連製品)、「Visual Studio」「Exchange Server」「Windows Kernel」「Windows Defender」などだ。

 今回のPatch Tuesdayで修正された興味深い脆弱性は以下の通りだ。すべて重要と評価されている。

  • CVE-2021-42321」(CVSS:3.1 8.8 / 7.7)。この脆弱性は、実際に悪用されており、Microsoft Exchange Serverに影響を及ぼす。コマンドレット引数の不適切な検証が原因で、リモートでコードが実行されるおそれがある。ただし、攻撃者は認証を通過する必要がある。
  • CVE-2021-42292」(CVSS:3.1 7.8 / 7.0)。この脆弱性も、実際に悪用されていることが確認されている。Microsoft Excelのバグで、セキュリティ機能をバイパスするのに利用できる。Microsoftによると、プレビューウィンドウは攻撃対象にならないという。現在のところ、「Microsoft Office 2019 for Mac」と「Microsoft Office LTSC for Mac 2021」向けのパッチは提供されていない。
  • CVE-2021-43209」(CVSS:3.1 7.8 / 6.8)。これはすでに公表済みの「3D Viewer」の脆弱性だ。ローカルで悪用されると、リモートでコードが実行される可能性がある。
  • CVE-2021-43208」(CVSS:3.1 7.8 / 6.8)。これも3D Viewerの既知の問題である。ローカルの攻撃者によって悪用されると、リモートでコードが実行される可能性がある。
  • CVE-2021-38631」(CVSS:3.0 4.4 / 3.9)。これもすでに公表済みだ。この「Windows Remote Desktop Protocol」(RDP)のセキュリティ脆弱性を悪用されると、情報が漏えいするおそれがある。
  • CVE-2021-41371」(CVSS:3.1 4.4 / 3.9)。最後に、パッチのリリース前から知られていたこのRDPの脆弱性も、ローカルで悪用されると、情報が漏えいするおそれがある。

 Microsoftのセキュリティアップデート以外にも、各社からセキュリティアップデートが公開されている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]