パッチ火曜日：マイクロソフトが4つのゼロデイ脆弱性を発見

Microsoftは毎月第2火曜日にWindows向けの修正プログラムを公開しています。今週火曜日には、ゼロデイ脆弱性4件、深刻度の高い脆弱性2件、そしてAdobeからの関連パッチがいくつか公開されます。

マイクロソフトが「Update Tuesday」と呼ぶパッチ火曜日には、Adobeなどの大手ソフトウェア企業が主要なセキュリティ修正プログラムをリリースします。企業ネットワーク全体にアップデートを適用する時間帯で、管理者やユーザーが週明けや翌日に慌てなくて済むよう、太平洋標準時の午前中に実施されます。

Patch Tuesday は、管理者にとって、Microsoft のセキュリティ更新プログラムが最新であることを確認するための便利なリマインダーです。

攻撃者は4つのゼロデイ脆弱性を悪用した

攻撃者がすでに悪用している 4 つの脆弱性は次のとおりです。

• CVE-2024-43491： Windows 10 バージョン1507のサービススタックに存在する脆弱性で、オプションコンポーネントにおいて、以前は軽減済みと考えられていた脆弱性の影響を受ける可能性があります。Windows 10のそれ以降のバージョンは影響を受けません。2024年9月のサービススタック更新と2024年9月のWindowsセキュリティ更新でこの脆弱性が修正されています。
• CVE-2024-38226: Microsoft Publisher におけるバイパスの脆弱性。
• CVE-2024-38217:攻撃者が Mark of the Web のセキュリティ警告を回避できる手法。
• CVE-2024-38014:不適切な権限管理を引き起こし、攻撃者に望ましくない権限を与える可能性がある脆弱性。

参照: IBM のクリス・ホッキングス氏は、パスキーとディープフェイクに対する防御により、今後 5 年間のインターネットの安全性について楽観的です。

2つの脆弱性がNISTの「重大」カテゴリーに分類された

National Vulnerability Database（National Vulnerability Database）の共通脆弱性評価システム（Common Vulnerability Scoring System）は、優先順位付けシステムにおいて一定の深刻度基準を満たす脆弱性に「緊急」の評価を割り当てます。これらの脆弱性は即時対応が必要であり、上記のCVE-2024-43491や、Azure Stack Hubにおける権限昇格の脆弱性であるCVE-2024-38220などが挙げられます。

合計で、9 月の Update Tuesday では 79 件の脆弱性に対する修正が導入されました。

Adobeは独自の月次セキュリティアップデートをリリースした

Adobe は、Photoshop、Cold Fusion、Acrobat Reader、Illustrator、Premiere Pro、After Effects、Audition、Media Encoder 向けに独自の修正をいくつかリリースしました。

こちらもご覧ください

• SOCI法2024：タレスの報告書がオーストラリアの重要インフラ侵害を明らかに
• マイクロソフトはセキュリティ強化のため、Office 2024のデフォルトのActiveXコントロールを無効化する
• Tenable：26,500件のサイバー脆弱性が東南アジアの銀行に危険
• サイバーセキュリティ：さらに読むべき記事