マイクロソフト、4月の月例パッチ--脆弱性100件超に対処

Charlie Osborne (ZDNet.com) 翻訳校正: 編集部2022年04月13日 12時35分

 Microsoftは米国時間4月12日、月例セキュリティパッチ「Patch Tuesday」をリリースした。ゼロデイ2件を含む100件を超える脆弱性に対処している。

 今回のパッチでは、リモートコード実行(RCE)の脆弱性、特権昇格(EoP)に関する脆弱性のほか、DoS攻撃や情報漏えい、情報の改ざんを可能にするさまざまな脆弱性が修正されている。10件が深刻度評価で「Critical」(緊急)と分類されている。

 「Windows」OS、「Microsoft Office」「Microsoft Dynamics」「Microsoft Edge」「Hyper-V」「File Server」「Skype for Business」「Windows SMB」などをはじめとするサービスが今回のセキュリティアップデートの対象となっている。

 ゼロデイで今回対処された脆弱性は以下の2件だ。

  • CVE-2022-26904:「Windows User Profile Service」に影響を与え、EoPを引き起こす恐れがある。共通脆弱性評価システム(CVSS)のスコアは7.0だ。Microsoftによると「攻撃者がこの脆弱性を悪用するには、競合条件に勝つ必要がある」ため、「攻撃条件の複雑さ」は「高い」とされている。
  • CVE-2022-24521:「Windows Common Log File System(CLFS)Driver」におけるEoPの脆弱性だ。CVSSのスコアは7.8となっている。「攻撃条件の複雑さ」は低いとされている。Microsoftによると、この脆弱性は今まで公になっていなかったものの、悪用が確認されている。

 このほか、CVE-2022-26809CVE-2022-24491についても注意が必要だ。それぞれ、リモートプロシージャコールのランタイムと、Windowsネットワークファイルシステムに影響を及ぼす脆弱性だ。いずれもCVSSのスコアは9.8で、RCE攻撃につながる可能性があるとされている。

 Zero Day Initiative(ZDI)によると、今回のパッチの量は2021年第1四半期に匹敵しているという。

 Microsoft以外にも複数のベンダーがセキュリティアップデートを公開している。以下からアクセスできる。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]