Microsoft 2023-1 月例アップデートは1件のゼロデイと 98件の脆弱性に対応

Microsoft January 2023 Patch Tuesday fixes 98 flaws, 1 zero-day

2023/01/10 BleepingComputer — 今日の、Microsoft January 2023 Patch Tuesday により、活発に悪用されているゼロデイ脆弱性1件を含む、合計 98件の脆弱性が修正された。2023年最初の Patch Tuesday で修正された 98件の脆弱性のうち 11件は、最も深刻なタイプの脆弱性のひとつであるリモート・コード実行/セキュリティ・バイパス/権限昇格を可能にするものであり、Critical に分類されている。

各脆弱性のカテゴリーに含まれるバグの数は、以下の通りとなる。

  • 39件:権限昇格の脆弱性
  • 4件:セキュリティ・バイパスの脆弱性
  • 33件:リモート・コード実行の脆弱性
  • 10件:情報漏えいの脆弱性
  • 10件:サービス運用妨害の脆弱性
  • 2件:成りすましの脆弱性

活発に悪用されている1件のゼロデイが修正された

January 2023 Patch Tuesday では、ゼロデイ脆弱性1件/アクティブに悪用される脆弱性1件/一般に公開されている脆弱性1件が修正された。Microsoft では、一般に公開されている脆弱性や、公式な修正プログラムがなく積極的に悪用されている脆弱性を、ゼロデイに分類している。

今日の更新で修正された、積極的に悪用されているゼロデイ脆弱性は、以下の通りだ:

CVE-2023-21674:Windows Advanced Local Procedure Call (ALPC) における権限昇格の脆弱性であり、Avast の Jan Vojtěšek/Milánek/Przemek Gmerek により発見された。

Microsoft は、これは権限昇格につながるサンドボックス・エスケープの脆弱性であるとし、アドバイザリで、「この脆弱性の悪用に成功した攻撃者は、SYSTEM 権限を得ることができる」と説明している。脅威アクターが、この脆弱性を攻撃で悪用した方法は不明であり、BleepingComputer はAvast にコメントを求めている。

また、Microsoft は、Windows SMB Witness Service における権限昇格の脆弱性 CVE-2023-21549 が公開されたと述べている。しかし、BleepingComputer は、Akamai のセキュリティ研究者である Stiv Kupchik から、「通常の開示プロセスに従っており、この脆弱性は一般に公開されたものとして分類されるべきではない」との説明を受けた。

他社の最近のアップデート

その他、2023年1月にアップデートを公開したベンダーは、以下の通りである。

  • Apple:多数の製品のセキュリティ・アップデートを公開。
  • Cisco:Cisco IP Phone 7800/8800 phones のセキュリティ・アップデートを公開。
  • Citrix:Cisco Identity Services のセキュリティ・アップデートを公開。
  • Fortinet:複数の製品のセキュリティ・アップデートを公開。
  • Intel:oneAPI Toolkit のセキュリティ・アップデートを公開。
  • SAP:January 2023 Patch Day を公開。
  • Synology:Synology VPN Plus Server のセキュリティ・アップデートを公開。

以下は、January Patch Tuesday で修正された脆弱性と、リリースされたアドバイザリの全リストだ。完全なレポートは、ココで確認できる。

この月例アップデートの報道と前後して、Windows 7 Professional/Enterprise の Extended End of Support (ESU) が 1月10日に終了したという記事がポストされていました。また、次期 Microsoft Edge の 109 では、Windows 7/8x がサポートされなくなるようです。なお、最近の Microsoft Patch Tuesday は、以下のとおりです。

2022-12 月例アップデートは2件のゼロデイと 49件の脆弱性に対応
2022-11 月例アップデートは6件のゼロデイと 68件の脆弱性に対応
2022-10 月例アップデートは2件のゼロデイと 84件の脆弱性に対応

%d bloggers like this: