Microsoft 2022-04 月例アップデートは2件のゼロデイと 119件の脆弱性に対応

Microsoft April 2022 Patch Tuesday fixes 119 flaws, 2 zero-days

2022/04/22 BleepingComputer — 今日は Microsoft は、April 2022 Patch Tuesday を発行し、2つのゼロデイ脆弱性を含む、合計で 119件の不具合を修正した。Microsoft は 119件の脆弱性(Microsoft Edgeの脆弱性26件を含まず)を修正したが、そのうちの 10件はリモートコード実行が可能なため Critical に分類されている。それぞれの脆弱性カテゴリに含まれる、バグの数は以下のとおりである。

  • 47件:特権昇格の脆弱性
  • 0件:セキュリティ機能回避の脆弱性
  • 47件:リモートコード実行の脆弱性
  • 13件:情報漏えいの脆弱性
  • 9件:サービス拒否の脆弱性
  • 3件:スプーフィング脆弱性
  • 26件:Edge – Chromium の脆弱性

セキュリティ以外の Windows 更新プログラムについては、今日の Windows 10 KB5012599/KB5012591 を参照してほしい。

3つのゼロデイが修正されたが積極的な悪用はない

今月の Patch Tuesday では、2つのゼロデイ脆弱性 (1つは公表/1つは積極的な悪用) の修正が含まれている。Microsoft では、公式な修正プログラムがない脆弱性であり、一般に公開されているもの、積極的に悪用されているものを、ゼロデイ脆弱性と分類している。

今日のアップデートで修正された積極的に悪用されているゼロデイ脆弱性は、セキュリティ研究者である Abdelhamid Nacer 氏が発見したバグであり、以前に新たなパッチ・バイパスが発見された後に、Microsoft は二度の修正を試みている。

  • CVE-2022-26904:Windows ユーザー・プロファイルにおける特権昇格の脆弱性

    公開されたゼロデイとしては、CrowdStrike と NSA が発見した、以下の特権昇格のバグがある。
  • CVE-2022-24521:Windows Common Log File System Driver の特権昇格の脆弱性

これらの脆弱性に対するパッチを、Microsoft が発行したことで、脅威アクターたちは脆弱性を分析し、その悪用方法を考案すると予想される。したがって、今日のセキュリティ更新プログラムを、可能な限り早急にインストールすることが強く推奨される。

他社の最新アップデート

2022年4月にアップデートを公開した他のベンダーは以下の通り4となる。

  • Adobe:Adobe Reader/Acrobat/Photoshop/Commerce/After Effects のセキュリティ・アップデートをリリース。
  • Google:Android の 4月のセキュリティ・アップデートをリリース。
  • Cisco:多数の製品のセキュリティ・アップデートをリリース。
  • VMware:複数の製品のセキュリティ・アップデートをリリース。

April 2022 Patch Tuesday のセキュリティアップデート

2022年4月の Patch Tuesdayアップデートで解決された脆弱性と、リリースされたアドバイザリーの全リストはココになる。

この Patch Tuesday は、日本だと水曜日の未明に Web で開示されるものですが、お隣のキュレーション・チームは、早朝より大忙しになります。とくに、今月は Windows 関連の情報が多かったらしく、配信時刻の午前10時ギリギリまで、大奮闘だったようです。2022年4月10日に「Microsoft の Autopatch 機能が7月から稼働:サーバー系は Patch Tuesday を継続」という記事をポストしましたが、それにより負担が軽減すると良いですね。

%d bloggers like this: