マイクロソフト、9月の月例パッチ公開–「緊急」の脆弱性5件などを修正

今回は「マイクロソフト、9月の月例パッチ公開–「緊急」の脆弱性5件などを修正」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftは米国時間9月13日、64件の脆弱性を修正する月例パッチを公開した。これらの中には、「Critical」(緊急)に分類される脆弱性5件と、悪用されている脆弱性1件が含まれている。

 今回のパッチは、「Microsoft Windows」およびそのコンポーネントや、「Microsoft Azure」および「Azure Arc」、「.NET」「Visual Studio」「.NET Framework」、「Microsoft Edge」(「Chromium」ベース)、「Office」およびそのコンポーネント、「Windows Defender」などに存在する脆弱性に対処している。

 今回のパッチは、Zero Day Initiativeが記しているように、Microsoft Edge(Chromiumをベースにしたもの)に存在する14件の脆弱性と、Armプロセッサーに存在する投機的実行のサイドチャネル攻撃を可能にする1件の脆弱性への対処に続くものとなっている。

 9月の月例パッチで対処された、悪用が確認されている脆弱性は「Windows共通ログファイルシステムドライバー」に影響を与えるものだ。攻撃者はこの脆弱性を悪用する上で、標的となるシステムに対するアクセスを既に得て、コードを実行できるようになっている必要がある。これにより攻撃者は新たな権限を獲得でき、攻撃を遂行できるようになる。

 Zero Day Initiativeは、「この種の脆弱性は、ファイルをオープンしたり、リンクをクリックするように仕向ける、何らかのソーシャルエンジニアリングとともに用いられる場合が多い」と述べ、「それに成功すると、追加コードが昇格した権限で実行され、システムの乗っ取りにつながる」と続けた。

 Microsoftは、この脆弱性を発見したDBAPPSecurityとMandiant、CrowdStrike、Zscalerの研究者らに謝意を表している。

 13日に公開され、Criticalに分類されている5件の脆弱性はすべて、遠隔地からのコード実行(RCE)を引き起こす可能性のあるものだ。そのうちの2件は、「Microsoft Dynamics 365」のオンプレミス版に影響を与える脆弱性となっている。これら脆弱性を悪用する、巧妙に細工された信頼されたソリューションパッケージを認証ユーザーが実行することで、任意のSQLコマンドが実行されるようになる。このため、攻撃者はここを足場にして権限を昇格し、Dynamics 365データベース内でdb_ownerとしてコマンドを実行できるようになる。

 Criticalに分類されている脆弱性のうちの別の2件は、「Windows Internet Key Exchange(IKE)」の「Protocol Extension」に影響を与えるものとなっている。これにより、認証されていない攻撃者は、巧妙に細工したIPパケットを標的のマシンに送りつけ、RCEを引き起こせるようになる。

 Criticalに分類されている5件目の脆弱性は、WindowsのTCP/IPに影響を与えるものであり、認証されていない攻撃者は巧妙に細工したIPv6パケットをIPSecが有効化されているWindowsノードに送りつけることで、RCEを引き起こせるようになる。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
三井住友銀のソースコード流出、埼玉県は関係なし 県庁所在地が含まれていただけ 県が調査【追記あり】
セキュリティ
2021-02-03 20:01
ロケット史上最高の事前契約数を記録したRelativity Spaceが米国防総省と初打ち上げ契約を締結
宇宙
2021-03-17 11:37
EC・SaaS企業に収益ベース融資で資金を提供する仏SilvrがシリーズAで約171.5円調達
IT関連
2022-02-10 01:07
行ったことのない都市でも環境に対応し走れる自律配送車向けAIの英Wayve、約229億円調達
IT関連
2022-01-20 03:09
Google翻訳のAPIに新機能 PDFやWord、Excelファイルのレイアウトを維持したまま中身を翻訳
クラウドユーザー
2021-05-14 09:10
NTTSportict、「MIFA Football Park 福岡」にAIスポーツ映像ソリューションを提供
IT関連
2022-07-06 18:51
AI活用で5G網を自動復旧させる実証実験–KDDI、日立、NEC、OKIが共同
IT関連
2021-02-11 21:18
Web3が広くもたらす「ネットワーク効果」とは–イーサネット発案者メトカーフ氏が語る
IT関連
2022-05-14 11:29
TechCrunchはまだ死んでないよ
その他
2021-03-25 03:15
江戸川区、庁内での問い合わせ対応にチャットボット導入–感染対策と業務の適正化へ
IT関連
2022-10-30 22:13
東北大学と東芝、半分のレアアース量でネオジムボンド磁石と同等の磁力を持つサマリウム鉄系等方性ボンド磁石を開発
IT関連
2022-03-03 08:36
スーパームーンの皆既月食、見るチャンスは“東高西低” 皆既食は夜8時過ぎ
くらテク
2021-05-27 22:53
「ダイソン史上、最もインテリジェント」 レーザーでゴミを可視化するコードレス掃除機が登場
くらテク
2021-05-27 13:30
「あつ森」に「JTB島」登場 浅草・横浜・草津温泉など再現 社員が2カ月かけて作成
企業・業界動向
2021-07-15 03:26