「Microsoft Word」「Microsoft Stream Services」などが対象　JPCERT／CCがセキュリティ更新プログラムの適用を呼び掛け：既に悪用が確認されている脆弱性も

JPCERTコーディネーションセンターは、Microsoftが公開したセキュリティ更新プログラムを早急に適用するよう促した。「Microsoftが提供する最新の情報を参考に、対策適用の検討を推奨する」としている。

» 2023年09月13日 17時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　JPCERTコーディネーションセンター（JPCERT／CC）は2023年9月13日、Microsoftが公開したセキュリティ更新プログラムについて注意喚起を促した。脆弱（ぜいじゃく）性が悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの危険性があるため、「更新プログラムの早急な適用が必要」としている。

プレスリリース

「悪用される可能性が高い」脆弱性は12件

　Microsoftが公開した2023年9月のセキュリティ更新プログラムは59件のCVE（Common Vulnerabilities and Exposures）に対応している。特に「Microsoft Word」の情報漏えいの脆弱性（CVE-2023-36761）と「Microsoft Stream Services」のプロキシの特権の昇格の脆弱性（CVE-2023-36802）については、「既に悪用されていることを確認している」という。

　Windows Updateなどを用いてセキュリティ更新プログラムを適用することで対処可能なため、JPCERT／CCは「Microsoftが提供する最新の情報を参考に、対策適用を検討してほしい」としている。

　以下、更新プログラムの内容について触れる。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

「Log4j」などの古い脆弱性は依然、大量に悪用されている
Cloudflareが2023年第2四半期（4～6月）におけるインターネット全体のアプリケーションセキュリティの傾向に関するレポートを発表した。毎日平均1120億件ブロックしたサイバー脅威データを基に分析した結果分かった傾向とは。
Googleが報告「ゼロデイ脆弱性は過去2番目に多かった」　2022年に41件が悪用される
Googleの年次報告書によると、2022年に悪用されたことが検出、公開されたゼロデイ脆弱性は41件。2021年の69件からは減少したが、2014年に同社が追跡を開始して以来、2番目に多かった。
「脆弱性に対処する難易度」を評価可能に　最新のCVSS「CVSS 4.0」は何が違うのか
Mend.ioは、FIRSTの年次カンファレンスで発表された、共通脆弱性評価システム「CVSS」の最新バージョン（CVSS 4.0）に関するブログを公開した。基本メトリクスが細分化された他、「その脆弱性を使うと、攻撃者は1回の行動でどこまでコントロールを取得できるか」といったことも評価もできるようになった。