Microsoft April 2022 Patch Tuesday fixes 119 flaws, 2 zero-days
2022/04/22 BleepingComputer — 今日は Microsoft は、April 2022 Patch Tuesday を発行し、2つのゼロデイ脆弱性を含む、合計で 119件の不具合を修正した。Microsoft は 119件の脆弱性(Microsoft Edgeの脆弱性26件を含まず)を修正したが、そのうちの 10件はリモートコード実行が可能なため Critical に分類されている。それぞれの脆弱性カテゴリに含まれる、バグの数は以下のとおりである。
- 47件:特権昇格の脆弱性
- 0件:セキュリティ機能回避の脆弱性
- 47件:リモートコード実行の脆弱性
- 13件:情報漏えいの脆弱性
- 9件:サービス拒否の脆弱性
- 3件:スプーフィング脆弱性
- 26件:Edge – Chromium の脆弱性
セキュリティ以外の Windows 更新プログラムについては、今日の Windows 10 KB5012599/KB5012591 を参照してほしい。
3つのゼロデイが修正されたが積極的な悪用はない
今月の Patch Tuesday では、2つのゼロデイ脆弱性 (1つは公表/1つは積極的な悪用) の修正が含まれている。Microsoft では、公式な修正プログラムがない脆弱性であり、一般に公開されているもの、積極的に悪用されているものを、ゼロデイ脆弱性と分類している。
今日のアップデートで修正された積極的に悪用されているゼロデイ脆弱性は、セキュリティ研究者である Abdelhamid Nacer 氏が発見したバグであり、以前に新たなパッチ・バイパスが発見された後に、Microsoft は二度の修正を試みている。
- CVE-2022-26904:Windows ユーザー・プロファイルにおける特権昇格の脆弱性
公開されたゼロデイとしては、CrowdStrike と NSA が発見した、以下の特権昇格のバグがある。 - CVE-2022-24521:Windows Common Log File System Driver の特権昇格の脆弱性
これらの脆弱性に対するパッチを、Microsoft が発行したことで、脅威アクターたちは脆弱性を分析し、その悪用方法を考案すると予想される。したがって、今日のセキュリティ更新プログラムを、可能な限り早急にインストールすることが強く推奨される。
他社の最新アップデート
2022年4月にアップデートを公開した他のベンダーは以下の通り4となる。
- Adobe:Adobe Reader/Acrobat/Photoshop/Commerce/After Effects のセキュリティ・アップデートをリリース。
- Google:Android の 4月のセキュリティ・アップデートをリリース。
- Cisco:多数の製品のセキュリティ・アップデートをリリース。
- VMware:複数の製品のセキュリティ・アップデートをリリース。
April 2022 Patch Tuesday のセキュリティ・アップデート
2022年4月の Patch Tuesdayアップデートで解決された脆弱性と、リリースされたアドバイザリーの全リストはココになる。
この Patch Tuesday は、日本だと水曜日の未明に Web で開示されるものですが、お隣のキュレーション・チームは、早朝より大忙しになります。とくに、今月は Windows 関連の情報が多かったらしく、配信時刻の午前10時ギリギリまで、大奮闘だったようです。2022年4月10日に「Microsoft の Autopatch 機能が7月から稼働:サーバー系は Patch Tuesday を継続」という記事をポストしましたが、それにより負担が軽減すると良いですね。