マイクロソフト、9月の月例パッチ公開–「緊急」の脆弱性5件などを修正

今回は「マイクロソフト、9月の月例パッチ公開–「緊急」の脆弱性5件などを修正」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftは米国時間9月13日、64件の脆弱性を修正する月例パッチを公開した。これらの中には、「Critical」(緊急)に分類される脆弱性5件と、悪用されている脆弱性1件が含まれている。

 今回のパッチは、「Microsoft Windows」およびそのコンポーネントや、「Microsoft Azure」および「Azure Arc」、「.NET」「Visual Studio」「.NET Framework」、「Microsoft Edge」(「Chromium」ベース)、「Office」およびそのコンポーネント、「Windows Defender」などに存在する脆弱性に対処している。

 今回のパッチは、Zero Day Initiativeが記しているように、Microsoft Edge(Chromiumをベースにしたもの)に存在する14件の脆弱性と、Armプロセッサーに存在する投機的実行のサイドチャネル攻撃を可能にする1件の脆弱性への対処に続くものとなっている。

 9月の月例パッチで対処された、悪用が確認されている脆弱性は「Windows共通ログファイルシステムドライバー」に影響を与えるものだ。攻撃者はこの脆弱性を悪用する上で、標的となるシステムに対するアクセスを既に得て、コードを実行できるようになっている必要がある。これにより攻撃者は新たな権限を獲得でき、攻撃を遂行できるようになる。

 Zero Day Initiativeは、「この種の脆弱性は、ファイルをオープンしたり、リンクをクリックするように仕向ける、何らかのソーシャルエンジニアリングとともに用いられる場合が多い」と述べ、「それに成功すると、追加コードが昇格した権限で実行され、システムの乗っ取りにつながる」と続けた。

 Microsoftは、この脆弱性を発見したDBAPPSecurityとMandiant、CrowdStrike、Zscalerの研究者らに謝意を表している。

 13日に公開され、Criticalに分類されている5件の脆弱性はすべて、遠隔地からのコード実行(RCE)を引き起こす可能性のあるものだ。そのうちの2件は、「Microsoft Dynamics 365」のオンプレミス版に影響を与える脆弱性となっている。これら脆弱性を悪用する、巧妙に細工された信頼されたソリューションパッケージを認証ユーザーが実行することで、任意のSQLコマンドが実行されるようになる。このため、攻撃者はここを足場にして権限を昇格し、Dynamics 365データベース内でdb_ownerとしてコマンドを実行できるようになる。

 Criticalに分類されている脆弱性のうちの別の2件は、「Windows Internet Key Exchange(IKE)」の「Protocol Extension」に影響を与えるものとなっている。これにより、認証されていない攻撃者は、巧妙に細工したIPパケットを標的のマシンに送りつけ、RCEを引き起こせるようになる。

 Criticalに分類されている5件目の脆弱性は、WindowsのTCP/IPに影響を与えるものであり、認証されていない攻撃者は巧妙に細工したIPv6パケットをIPSecが有効化されているWindowsノードに送りつけることで、RCEを引き起こせるようになる。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「Google Play」ストアに35種類の悪意あるアプリ–200万回以上ダウンロード
IT関連
2022-08-20 06:13
りそな銀行ら、AI insideの「Developer's API」を採用–請求書から支払データを自動作成
IT関連
2022-07-06 21:32
ここまで進んだ最新治療 移動型治療室「モバイルSCOT」、5Gで高度な遠隔手術が可能に
IT関連
2021-01-22 10:12
北海道ジェイ・アール・システム開発、ERP導入で原価計算作業を約70時間削減
IT関連
2022-11-23 16:07
日立ソリューションズ、「社内副業管理サービス」の自社検証を開始
IT関連
2024-05-18 20:10
“骨盤”でランナーの弱点を見抜くサービス カシオとアシックスが3月に開始 専用「G-SHOCK」も
くらテク
2021-01-28 19:58
スウェーデンのゲーム大手MTGがインドのゲームスタジオPlaySimpleを約400億円で買収
ゲーム / eSports
2021-07-04 02:42
Google、Dart 3.3正式リリース。Flutter WebのWebAssemblyへのコンパイルも準備開始
Dart
2024-02-22 22:26
ワークスアプリ、「HUE Asset」と「Dynamics 365」を標準連携
IT関連
2023-08-22 10:33
レオパレス21、「鍵の紛失」など入居者の電話対応をAI音声で自動化
IT関連
2023-03-05 20:43
日立製作所、ホテルや会員制施設向けにデジタルIDと生体認証を活用した実証実験
IT関連
2022-03-18 04:52
サブスクサービスで電力とラックスペースのコストを負担–ピュア・ストレージ
IT関連
2023-10-24 15:30
5GとXRが変革するモバイルショッピング–低遅延とバーチャル要素でユーザー体験を向上
IT関連
2024-03-13 04:35
電動キックボード運転の男を書類送検、無免許疑い
IT関連
2021-06-17 08:43