マイクロソフト、9月の月例パッチ公開–「緊急」の脆弱性5件などを修正

今回は「マイクロソフト、9月の月例パッチ公開–「緊急」の脆弱性5件などを修正」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftは米国時間9月13日、64件の脆弱性を修正する月例パッチを公開した。これらの中には、「Critical」(緊急)に分類される脆弱性5件と、悪用されている脆弱性1件が含まれている。

 今回のパッチは、「Microsoft Windows」およびそのコンポーネントや、「Microsoft Azure」および「Azure Arc」、「.NET」「Visual Studio」「.NET Framework」、「Microsoft Edge」(「Chromium」ベース)、「Office」およびそのコンポーネント、「Windows Defender」などに存在する脆弱性に対処している。

 今回のパッチは、Zero Day Initiativeが記しているように、Microsoft Edge(Chromiumをベースにしたもの)に存在する14件の脆弱性と、Armプロセッサーに存在する投機的実行のサイドチャネル攻撃を可能にする1件の脆弱性への対処に続くものとなっている。

 9月の月例パッチで対処された、悪用が確認されている脆弱性は「Windows共通ログファイルシステムドライバー」に影響を与えるものだ。攻撃者はこの脆弱性を悪用する上で、標的となるシステムに対するアクセスを既に得て、コードを実行できるようになっている必要がある。これにより攻撃者は新たな権限を獲得でき、攻撃を遂行できるようになる。

 Zero Day Initiativeは、「この種の脆弱性は、ファイルをオープンしたり、リンクをクリックするように仕向ける、何らかのソーシャルエンジニアリングとともに用いられる場合が多い」と述べ、「それに成功すると、追加コードが昇格した権限で実行され、システムの乗っ取りにつながる」と続けた。

 Microsoftは、この脆弱性を発見したDBAPPSecurityとMandiant、CrowdStrike、Zscalerの研究者らに謝意を表している。

 13日に公開され、Criticalに分類されている5件の脆弱性はすべて、遠隔地からのコード実行(RCE)を引き起こす可能性のあるものだ。そのうちの2件は、「Microsoft Dynamics 365」のオンプレミス版に影響を与える脆弱性となっている。これら脆弱性を悪用する、巧妙に細工された信頼されたソリューションパッケージを認証ユーザーが実行することで、任意のSQLコマンドが実行されるようになる。このため、攻撃者はここを足場にして権限を昇格し、Dynamics 365データベース内でdb_ownerとしてコマンドを実行できるようになる。

 Criticalに分類されている脆弱性のうちの別の2件は、「Windows Internet Key Exchange(IKE)」の「Protocol Extension」に影響を与えるものとなっている。これにより、認証されていない攻撃者は、巧妙に細工したIPパケットを標的のマシンに送りつけ、RCEを引き起こせるようになる。

 Criticalに分類されている5件目の脆弱性は、WindowsのTCP/IPに影響を与えるものであり、認証されていない攻撃者は巧妙に細工したIPv6パケットをIPSecが有効化されているWindowsノードに送りつけることで、RCEを引き起こせるようになる。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
HPEが警鐘を鳴らす「クラウドによるデータ活用の“落とし穴”」とは
IT関連
2023-02-17 10:17
Internet Explorerのサポート終了にどう対応するか
IT関連
2021-06-04 23:23
「ChatGPT」、マルウェア作成に悪用される–Check Point調査
IT関連
2023-01-11 01:41
小規模企業向けクラウドPCは浸透するか Webブラウザから使えるマシン「Windows 365」登場で考えた :小寺信良のIT大作戦(1/2 ページ)
クラウドユーザー
2021-07-21 06:36
三井不動産、商業施設運営の大規模基幹システムをクラウド化
IT関連
2022-04-14 09:25
ドイツ裁判所がフェイスブックに対する「スーパープロファイリング」訴訟を欧州司法裁判所に付託
ネットサービス
2021-03-26 07:48
イオン、パナソニックのAI業務アプリでバックオフィスを改革
IT関連
2022-03-01 10:54
SHOWROOMで不具合 運営元はシステムのロールバックを予告、完全復旧は30日夜の見込み
ネットトピック
2021-03-31 19:23
マイクロソフト、DPUを手がけるFungibleを買収–データセンターを強化へ
IT関連
2023-01-12 23:10
商船三井、SaaS/iPaaSベースの新システムでリアルタイムにデータ連携
IT関連
2023-09-16 02:23
フコク生命、従業員約4500人のやりとりを円滑化–社用スマホ支給に伴い
IT関連
2022-11-11 03:06
DX実現にはレガシーIT運用の近代化が喫緊の課題–ガートナーが提言
IT関連
2024-11-13 22:36
マイクロソフト月例パッチ、「Windows 10/11」のリセットでユーザーデータが残る問題を修正
IT関連
2022-03-11 05:36
ServiceNow、屋内マッピングのMapwizeを買収へ
IT関連
2021-08-13 11:44