Microsoftが月例セキュリティパッチ「Patch Tuesday」をリリースした。90件を超える脆弱性に対処している。
リモートコード実行(RCE)の脆弱性、特権昇格の脆弱性、なりすましの問題、クロスサイトスクリプティング(XSS)の脆弱性などが修正されている。
2022年1月のセキュリティ更新プログラムの影響を受ける製品は、「Microsoft Exchange Server」「Microsoft Office」ソフトウェア製品、「Windows Defender」「Windowsカーネル」「Remote Desktop Protocol」(RDP)「Cryptographic Services」「Windows Certificate」「Microsoft Teams」などだ。
今回修正されたゼロデイ脆弱性は以下の通り。
- CVE-2021-22947:オープンソースの「Curl」におけるリモートコード実行(RCE)の脆弱性。中間者(MITM)攻撃が可能になる恐れがある。
- CVE-2021-36976:オープンソースの「Libarchive」の解放後使用(UAF)の脆弱性で、リモートコード実行が可能になる恐れがある。
- CVE-2022-21874:「Windows Security Center API」のRCEの脆弱性(CVSS 7.8)。
- CVE-2022-21919:「Windows User Profile Service」の特権昇格の脆弱性(CVSS 7.0)。
- CVE-2022-21839:「Windowsイベントトレーシング」の随意アクセス制御リストのサービス拒否(DoS)(CVSS6.1)。
- CVE-2022-21836:Windows Certificateのなりすまし(CVSS7.8)。
これらのゼロデイ脆弱性の中で、実際に悪用されていることが確認されたものはない。
またMicrosoftは、新しい「Security Update Guide」通知システムについても明らかにしている。サインアップの際、従来の「Live ID」だけでなく、標準の電子メールアドレスも使用できるようになった。
Microsoftのセキュリティアップデート以外にも、各社からセキュリティアップデートが公開されている。
- Adobeのセキュリティアップデート
- SAPのセキュリティアップデート
- VMWareのセキュリティアドバイザリー
- Intelのセキュリティアップデート
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
