Microsoft 2022-03 月例アップデートは3件のゼロデイと 71件の脆弱性に対応

Microsoft March 2022 Patch Tuesday fixes 71 flaws, 3 zero-days

2022/03/08 BleepingComputer — 今日の、Microsoft March 2022 Patch Tuesday により、3つのゼロデイ脆弱性を含む、合計で 71件の不具合が修正された。Microsoft は、今日のアップデートで、71件の脆弱性 (Microsoft Edge の 21件を除く) を修正したが、そのうち3件はリモート・コード実行の脆弱性であり、Critical に分類されている。

各脆弱性のカテゴリーに含まれるバグの数は、以下の通りとなる。

  • 25 件:Elevation of Privilege Vulnerabilities
  • 3 件:Security Feature Bypass Vulnerabilities
  • 29 件:Remote Code Execution Vulnerabilities
  • 6 件:Information Disclosure Vulnerabilities
  • 4 件:Denial of Service Vulnerabilities
  • 3 件:Spoofing Vulnerabilities
  • 21 件:Edge – Chromium Vulnerabilities

セキュリティ以外の Windows 更新プログラムについては、本日の Windows 10 の KB5011487/KB5011485 更新プログラムおよび、Windows 11 の KB5011493 更新プログラムを参照してほしい。

3つのゼロデイが修正されたが、アクティブな悪用はない

今月の Patch Tuesday には、一般に公表されている3件のゼロデイ脆弱性の修正が含まれている。良いニュースは、これらの脆弱性の全てが、攻撃で積極的に悪用されていないことだ。Microsoft は、公式な修正プログラムがない状況で、一般に公開されている脆弱性と、積極的に悪用されている脆弱性を、ゼロデイに分類している。

2022年3月の Patch Tuesday の一部として修正された、一般に公開された脆弱性は、以下の通りとなる。

  • CVE-2022-21990:Remote Desktop Client のリモートコード実行の脆弱性
  • CVE-2022-24459:Windows Fax/Scan サービスにおける特権昇格の脆弱性
  • CVE-2022-24512:.NET/Visual Studio のリモートコード実行の脆弱性

    これらの脆弱性は、いずれも攻撃には利用されていないが、Microsoft は CVE-2022-21990/CVE-2022-24459 の PoC エクスプロイトが公開されているとしている。
    今月の脆弱性のうち、脅威の標的となる可能性が高いと Microsoft が考えているのは、以下の通りである。
  • CVE-2022-24508:Windows SMBv3 Client/Server のリモートコード実行の脆弱性
  • CVE-2022-23277 – Microsoft Exchange Server のリモートコード実行の脆弱性

    これらの脆弱性に対して、Microsoft がパッチを発行したことで、脅威者は脆弱性を分析し、その悪用方法を考え出すと予想される。

他社の最近のアップデート

その他、2022年3月にアップデートを公開したベンダーは、以下の通りである。

  • Google:Android の3月のセキュリティ・アップデートを公開。
  • Cisco:Cisco FXOS/NX-OS/StarOS および、Cisco Application Policy Infrastructure Controller などの、セキュリティ・アップデートをリリース。
  • HP:ステルス・マルウェアのインストールに利用可能な、16件の UEFI ファームウェア脆弱性を公開。

Microsoft 2022 March 2022 Patch Tuesday の完全なレポートは、ココで参照できる

Microsoft の Patch Tuesday ですが、昨年の12月以降のものとして、「Microsoft 2021-12 月例アップデートは6件のゼロデイと 67件の脆弱性に対応」、「Microsoft 2022-01 月例アップデートは6件のゼロデイと 97件の脆弱性に対応」、「Microsoft 2022-02 月例アップデートは1件のゼロデイと 48件の脆弱性に対応」をポストしています。よろしければ、ご参照ください。

%d bloggers like this: