Microsoft 2022-01 月例アップデートは6件のゼロデイと 97件の脆弱性に対応

Microsoft January 2022 Patch Tuesday fixes 6 zero-days, 97 flaws

2022/01/11 BleepingComputer — 今日は、Microsoft の January 2022 Patch Tuesday であり、それに伴い、6つのゼロデイ脆弱性を含む、合計で97件の脆弱性が修正された。Microsoft は、今日のアップデートで、97件の脆弱性 (29件の Microsoft Edge 脆弱性を除く) を修正し、9件を Critical に、88件を Important に分類している。

脆弱性の種類ごとの件数は以下の通りとなる。

  • 41 件:特権の昇格の脆弱性
  • 9 件:セキュリティ機能バイパスの脆弱性
  • 29 件:リモートコード実行の脆弱性
  • 6 件:情報漏えいの脆弱性
  • 9 件:サービス妨害(Denial of Service)の脆弱性
  • 3件:なりすましの脆弱性

    6件のゼロデイが修正されたが現実の悪用は無し

    今月の Patch Tuesday には、一般に公開されている6件のゼロデイ脆弱性の修正が含まれている。良いニュースは、いずれも積極的に攻撃に悪用されていないことだ。Microsoft では、一般に公開されている脆弱性および、積極的に悪用されている脆弱性に関係なく、公式な修正プログラムが提供されていない脆弱性をゼロデイと分類している。

    2022年1月の Patch Tuesday の一環として公開された、ゼロデイ脆弱性は以下の通りとなる。
  • CVE-2021-22947 – オープンソース Curl のリモートコード実行の脆弱性
  • CVE-2021-36976 – Libarchive のリモートコード実行の脆弱性
  • CVE-2022-21919 – Windows ユーザープロファイル・サービス 特権昇格の脆弱性
  • CVE-2022-21836 – Windows 証明書スプーフィングの脆弱性
  • CVE-2022-21839 – Windows イベント・トレーシングのサービス拒否の脆弱性
  • CVE-2022-21874 – Windows セキュリティセンター API のリモートコード実行の脆弱性

    CurlとLibarchiveの脆弱性は、それぞれのメンテナにより、すでに修正されていたが、その修正結果は、今日まで Windows に反映されていなかった。しかし、これらの脆弱性の多くは、PoC エクスプロイトが公開されているため、脅威アクターたちに悪用される可能性がある。

    それぞれの脆弱性に関する詳細な説明と、影響を受けるシステムについては、レポート一覧を参照してほしい

    他社の最近のアップデート

    2022年1月にアップデートを公開した他のベンダーは以下の通りとなる。
  • Adobe の1月のアップデートは1月12日に公開
  • Android の12月のセキュリティアップデートは 12月に公開
  • Cisco は1月に、Cisco Prime Infrastructure や Cisco Common Services Platform Collector などの、多数のセキュリティ・アップデートをリリース
  • SAP は、2022年 1月のセキュリティ・アップデートを公開
  • VMWare は、VMWare Workstation/Fusion/ESXi におけるコード実行の脆弱性に対する修正プログラムを公開。

今月の Patch Tuesday ですが、「1月のWindows Update実施後にVPN接続できなくなる問題が発生中」にあるように、VPN 接続ができなくなって、困っているユーザーがいるようです。このチームの身近にもいて、色々と調べているようですが、コレといった解決策は、まだ見つかっていません。早く、対策が講じられると良いですね。

%d bloggers like this: