Microsoft 2021-11 月例アップデートは6件のゼロデイと 55件の脆弱性に対応

Microsoft November 2021 Patch Tuesday fixes 6 zero-days, 55 flaws

2021/11/09 BleepingComputer — 今日の Microsoft November 2021 Patch Tuesday により、6件のゼロデイ脆弱性うぃ含む、合計で 55件の脆弱性が修正された。積極的に悪用されている脆弱性は、Microsoft Exchange と Excel に関連するものであり、Exchange のゼロデイは Tianfu ハッキング・コンテストでも使用されていた。

今日のアップデートで修正された 55件の脆弱性のうち、6件が Critical に、また、49件が Important に分類されている。脆弱性の種類はごとの件数は以下のとおりである。

  • 20 Elevation of Privilege vulnerabilities
  • 2 Security Feature Bypass vulnerabilities
  • 15 Remote Code Execution vulnerabilities
  • 10 Information Disclosure vulnerabilities
  • 3 Denial of Service vulnerabilities
  • 4 Spoofing vulnerabilities

    セキュリティ以外の Windows の更新プログラムについては、今日の Windows 10 KB5007186 & KB5007189 累積更新プログラムを参照してほしい。

    6つのゼロデイが修正されたが、そのうちの2つは積極的に悪用されている

    November 2021 Patch Tuesday では、6つのゼロデイ脆弱性が修正され、そのうち2つは Microsoft Exchange と Microsoft Excel に対して、積極的に悪用されている。Microsoft では、一般に公開されている脆弱性および、積極的に悪用されている脆弱性を、ゼロデイと分類している。今月に修正された、積極的に悪用される脆弱性は以下の通りである。
  • CVE-2021-42292 – Microsoft Excel Security Feature Bypass Vulnerability
  • CVE-2021-42321 – Microsoft Exchange Server Remote Code Execution Vulnerability

    Microsoft Threat Intelligence Center により発見された、Excel の CVE-2021-42292 は、悪意の攻撃で積極的に使用されている。なお、Microsoft Office for Mac のセキュリティ・アップデートは、現時点では公開されていない。

    この他にも、Microsoft は、攻撃での悪用が検知されていないが、公開されている4つの脆弱性も修正している。
  • CVE-2021-38631 – Windows Remote Desktop Protocol (RDP) Information Disclosure Vulnerability
  • CVE-2021-41371 – Windows Remote Desktop Protocol (RDP) Information Disclosure Vulnerability
  • CVE-2021-43208 – 3D Viewer Remote Code Execution Vulnerability
  • CVE-2021-43209 – 3D Viewer Remote Code Execution Vulnerability

他社の最新アップデート

11月にアップデートを公開したベンダーには、以下が含まれる。

2件の積極的に悪用されている、2件の脆弱性には注意が必要ですね。先月までの月例アップデートは、以下のとおりです。
Microsoft 2021-10 月例アップデートは4件のゼロデイと 71件の脆弱性に対応
Microsoft 2021-09 月例アップデートは 2件のゼロデイと 60件の脆弱性に対応
Microsoft 2021-08 月例アップデートは 3件のゼロデイと 44件の脆弱性に対応
Microsoft 2021-07 月例アップデートは 9件のゼロデイと 117件の脆弱性に対応

%d bloggers like this: