Microsoftは米国時間8月11日、月例セキュリティパッチ「Patch Tuesday」をリリースした。
今回のパッチでは、「Edge」「Windows」「SQL Server」「.NET Framework」など13製品で120件の脆弱性が修正されている。
脆弱性120件の中には、「Critical」(緊急)と分類されたものが17件あり、ゼロデイ脆弱性も2件含まれている。
2件のゼロデイ脆弱性のうちの1件(CVE-2020-1464)は「Windows OS」に存在する。Microsoftによると、攻撃者はこの脆弱性を悪用し、「セキュリティ機能を迂回(うかい)し、不正に署名されたファイルをロードさせる」ことが可能になる恐れがある。
これまでのMicrosoftのセキュリティアドバイザリーと同様、脆弱性に関する技術的な詳細と、実際に悪用されているかどうかということについては明らかにされていない。同社がこういったアプローチを使用しているのは、脆弱性が存在する場所と悪用方法をハッカーらが推測できないようにして、他の攻撃が発生するまでの時間を長引かせるためだ。
2件目のゼロデイ脆弱性(CVE-2020-1380)は、「Internet Explorer」(IE)に搭載されているスクリプティングエンジンに存在している。
Microsoftによると、IEのスクリプティングエンジン内に存在しているリモートコード実行(RCE)の脆弱性をハッカーが発見し、実際に悪用しているという報告をKaspersky Labから受け取ったという。
この脆弱性自体はIEのスクリプティングエンジンに存在しているものだが、「Microsoft Office」スイートといったネイティブなMicrosoftアプリにも影響が及ぶという。
Officeアプリが文書内にウェブページを埋め込み/描画する際に、IEのスクリプティングエンジンが大きな役割を果たすためだ。
8月の月例パッチの詳細、Microsoft以外の主な企業が公開しているセキュリティアップデートの情報は以下の通りだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス