Microsoft September 2023 Patch Tuesday fixes 2 zero-days, 59 flaws
2023/09/12 BleepingComputer — 今日は、Microsoft の September 2023 Patch Tuesday であり、積極的に悪用されている2件のゼロデイ脆弱性を含む、全体で 59件の欠陥に対するセキュリティ・アップデートが提供されている。その一方で Microsoft は、他社製品である Electron と Autodesk の2つの欠陥と、Microsoft Edge (Chromium) に存在する4つの脆弱性に対して、9月7日に修正プログラムを公開している。
また、今日にリリースされた、非セキュリティ更新プログラムの詳細については、Windows 11 KB5030219 累積更新プログラムと、Windows 10 KB5030211 更新プログラムのリリースに関する専用記事を参照してほしい。
活発に悪用されている2つの脆弱性
今月の Patch Tuesday では、2つのゼロデイ脆弱性が修正されているが、どちらも攻撃で悪用され、そのうちの1つは公表されている。Microsoft がゼロデイとして分類するケースは、脆弱性が公開されている場合と、積極的に悪用されているが公式な修正プログラムが提供されていない場合となる。
今日のアップデートに含まれる、積極的に悪用されている2件のゼロデイ脆弱性は以下の通りだ:
CVE-2023-36802:Microsoft Streaming Service Proxy における特権昇格の脆弱性
積極的に悪用されている、ローカル特権昇格の脆弱性を修正した。悪用に成功した攻撃者は、SYSTEM 権限を取得する可能性がある。
この脆弱性を発見したのは、DBAPPSecurity WeBin Lab の Quan Jin(@jq0904) & ze0r/IBM X-Force/Microsoft Threat Intelligence/Microsoft Security Response Center の Valentina Palmiotti である。
CVE-2023-36761:Microsoft Word における情報漏洩の脆弱性
ドキュメント (プレビューペインを含む) を開く際に、NTLM ハッシュの窃取に用いられる可能性のある、積極的に悪用されている脆弱性を修正した。この脆弱性は、NTLM ハッシュのクラックに悪用され、また、NTLM リレー攻撃によるアカウントへの不正アクセスに悪用される可能性がある。
この脆弱性を発見したのは、Microsoft Threat Intelligence グループである。
他社による最近のアップデート
他ベンダーによる、2023年9月にリリースされたアップデートやアドバイザリは、以下の通りだ:
- Apple:スパイウェア Pegasus をインストールする攻撃で悪用されていた、BLASTPASS と呼ばれる新たなゼロデイ・エクスプロイト・チェーンを修正。
- Atlas VPN:ユーザーの実際の IP アドレスを公開する可能性のある、Linux クライアントのゼロデイを修正。
- Asus:SUS RT-AX55/RT-AX56U_V2/RT-AC86U ルーター製品に存在する、3件深刻ななリモートコード実行のバグを修正。
- Cisco:各種製品におけるセキュリティ・アップデートをリリースし、Cisco ASA デバイスのゼロデイについて警告。
- Google:Android September 2023 および Chrome のアップデートをリリースし、積極的に悪用される脆弱性を修正。
- MSI:Windows の UNSUPPORTED_PROCESSOR エラーを修正する、BIOS のアップデートをリリース。
- Notepad++:4件のセキュリティ脆弱性を修正した、Notepad++ 8.5.7 をリリース。
- SAP:2023年9月のパッチデイ・アップデートをリリース。
- VMware:VMware Tools の脆弱性を修正。
Microsoft における、各脆弱性の詳細な説明と、影響を受けるシステムにアクセスするための完全なレポートは、ココで参照できる。
Microsoft の月例アップデートです。この9月には2件のゼロデイがありましたが、このアップデートが公開されると同時に、CISA KEV に登録されていたと、お隣のキュレーション・チームが言っていました。それだけ、深刻な状況にあるものだと捉えたほうが良いでしょう。アップデートの適用を、お忘れなく!
You must be logged in to post a comment.