「Microsoft Word」「Microsoft Stream Services」などが対象 JPCERT/CCがセキュリティ更新プログラムの適用を呼び掛け:既に悪用が確認されている脆弱性も
JPCERTコーディネーションセンターは、Microsoftが公開したセキュリティ更新プログラムを早急に適用するよう促した。「Microsoftが提供する最新の情報を参考に、対策適用の検討を推奨する」としている。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
JPCERTコーディネーションセンター(JPCERT/CC)は2023年9月13日、Microsoftが公開したセキュリティ更新プログラムについて注意喚起を促した。脆弱(ぜいじゃく)性が悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの危険性があるため、「更新プログラムの早急な適用が必要」としている。
プレスリリース「悪用される可能性が高い」脆弱性は12件
Microsoftが公開した2023年9月のセキュリティ更新プログラムは59件のCVE(Common Vulnerabilities and Exposures)に対応している。特に「Microsoft Word」の情報漏えいの脆弱性(CVE-2023-36761)と「Microsoft Stream Services」のプロキシの特権の昇格の脆弱性(CVE-2023-36802)については、「既に悪用されていることを確認している」という。
Windows Updateなどを用いてセキュリティ更新プログラムを適用することで対処可能なため、JPCERT/CCは「Microsoftが提供する最新の情報を参考に、対策適用を検討してほしい」としている。
以下、更新プログラムの内容について触れる。
セキュリティ更新プログラムのリリースノートによると、ベーススコアで最も高いもので8.8。対象の製品、サービスは次の5つ。
- Azure DevOps
- Microsoft Office SharePoint
- Windows Themes
- Microsoft Windows Codecs Library
- Windows インターネット接続の共有
リリースノートには「悪用可能性」という指標もある。2件が「悪用の事実を確認済み」となっているが、こちらは前述したMicrosoft WordとMicrosoft Stream Servicesのことだ。2番目に脅威となる「悪用される可能性が高い」は12件あり、その中にはベーススコアが高い「Windows インターネット接続の共有」が含まれているので特に注意が必要だ。
関連記事
「Log4j」などの古い脆弱性は依然、大量に悪用されている
Cloudflareが2023年第2四半期(4〜6月)におけるインターネット全体のアプリケーションセキュリティの傾向に関するレポートを発表した。毎日平均1120億件ブロックしたサイバー脅威データを基に分析した結果分かった傾向とは。
Googleが報告「ゼロデイ脆弱性は過去2番目に多かった」 2022年に41件が悪用される
Googleの年次報告書によると、2022年に悪用されたことが検出、公開されたゼロデイ脆弱性は41件。2021年の69件からは減少したが、2014年に同社が追跡を開始して以来、2番目に多かった。
「脆弱性に対処する難易度」を評価可能に 最新のCVSS「CVSS 4.0」は何が違うのか
Mend.ioは、FIRSTの年次カンファレンスで発表された、共通脆弱性評価システム「CVSS」の最新バージョン(CVSS 4.0)に関するブログを公開した。基本メトリクスが細分化された他、「その脆弱性を使うと、攻撃者は1回の行動でどこまでコントロールを取得できるか」といったことも評価もできるようになった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。