Microsoft 2022-08 月例アップデートは2件のゼロデイと 121件の脆弱性に対応

Microsoft August 2022 Patch Tuesday fixes exploited zero-day, 121 flaws

2022/08/09 BleepingComputer — 今日は、Microsoft の August 2022 Patch Tuesday だ。それに伴い、活発に悪用されているゼロデイ脆弱性 DogWalk を含む、合計 121件の欠陥が修正された。今日のアップデートで修正された 121件の脆弱性のうちの 17件は、リモートでのコード実行や特権昇格が可能であり、Critical に分類されている。


各脆弱性のカテゴリーに含まれるバグの件数は以下のとおりである。

  • 64 Elevation of Privilege Vulnerabilities
  • 6 Security Feature Bypass Vulnerabilities
  • 31 Remote Code Execution Vulnerabilities
  • 12 Information Disclosure Vulnerabilities
  • 7 Denial of Service Vulnerabilities
  • 1 Spoofing Vulnerability

上記の件数には、過去に修正された Microsoft Edge の20件の脆弱性は含まれていない。

セキュリティ以外の Windows の更新プログラムについては、今日の Windows 10 KB5016616 および KB5016623 と、Windows 11 KB5016629 の更新プログラムを参照してほしい。

2つのゼロデイ脆弱性が修正されたが、1つは積極的に悪用されている

今月の Patch Tuesday では、2つのゼロデイ脆弱性が修正されたが、そのうちの1つは攻撃で積極的に悪用されている。Microsoft の分類によると、公式な修正プログラムがないもの、一般に公開されているもの、積極的に悪用されているものが、ゼロデイ脆弱性となる。

今日に修正された、積極的に悪用されるゼロデイ脆弱性は DogWalk と呼ばれ、Microsoft は CVE-2022-34713 : Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability として追跡している。

この脆弱性は 2020年1月に、セキュリティ研究者である Imre Rad により発見されたが、Microsoft はセキュリティ脆弱性ではないと判断し、修正しないことを決定した。しかし、Microsoft Office MSDT の脆弱性が発見された後に、Imre Rad は DogWalkの脆弱性も修正するよう再び働きかけ、今日の更新プログラムの一部として修正された。

もう1つのゼロデイ脆弱性は、Microsoft が CVE-2022-30134:Microsoft Exchange Information Disclosure Vulnerability として追跡するものであり、悪用に成功した撃者に、標的の電子メールメッセージ参照を許すものとなる。Microsoft によると、脆弱性 CVE-2022-30134 は公開されているが、攻撃では検出されていないとのことだ。

他社の最近のアップデート

2022年8月にアップデートを公開した、その他のベンダーは以下の通りである。

Microsoft の August 2022 Patch Tuesday

2022年8月の Patch Tuesday アップデートで解決された脆弱性と、公開されたアドバイザリの全リストは、ココで参照できる。

Microsoft の Patch Tuesday ですが、1月は6件のゼロデイと 97件の脆弱性、2月は1件のゼロデイと 48件の脆弱性、3月は3件のゼロデイと 71件の脆弱性、4月は2件のゼロデイと 119件の脆弱性、5月は3件のゼロデイと 75件の脆弱性、6月は1件のゼロデイと 55件の脆弱性、7月は1件のゼロデイと 84件の脆弱性に対応してきました。さっと眺めるだけで、たいへんな量の件数です。お疲れさまです。

%d bloggers like this: