Microsoft 2023-12 月例アップデート：１件のゼロデイと 34件の脆弱性に対応

Microsoft December 2023 Patch Tuesday fixes 34 flaws, 1 zero-day

2023/12/12 BleepingComputer — 今日は Microsoft の December 2023 Patch Tuesday であり、合計で 34件の脆弱性が修正されたが、その中には AMD CPU ゼロデイ脆弱性１件に対する更新プログラムも含まれている。Microsoft は、８件のリモート・コード実行 (RCE) バグを修正したが、そのうちの３件のみが Critical と評価されている。全体では、４件の Critical 脆弱性があり、１件はPower Platform (スプーフィング) 、２件はインターネット接続共有 (RCE)、１件はWindows MSHTML Platform (RCE) であった。

それそれのカテゴリーにおける脆弱性の件数は以下の通りである：

• 10件：権限昇格の脆弱性
• 8件：リモート・コード実行の脆弱性
• 6件：情報漏えいの脆弱性
• 5件：サービス拒否の脆弱性
• 5件：スプーフィング脆弱性

なお、合計で 34件の脆弱性の中には、12月7日に修正された Microsoft Edge の８件の脆弱性は含まれていない。

また、今日にリリースされた非セキュリティ更新プログラムの詳細については、最新の Windows 11 KB5033375 累積更新プログラムおよび、Windows 10 KB5033372 累積更新プログラムを解説する記事を参照してほしい。

公開されたゼロデイ脆弱性１件を修正

今月の Patch Tuesday では、2023年8月に公開された AMD のゼロデイ脆弱性の中の、これまでにパッチが未適用だった１件が修正されている。

CVE-2023-20588：AMD Speculative Leaks の脆弱性は、特定の AMD プロセッサに存在するゼロ除算のバグであり、誤って機密データを返してしまう可能性があるものだ。この欠陥は８月に公表され、AMD は以下の緩和策を推奨する以外に、修正策を提供していなかった。

AMD — 影響を受ける製品について、AMD はソフトウェア開発のベスト・プラクティスに従うことを推奨する。開発者は、特権境界を変更する前に、分割操作で特権データが使用されていないことを確認することで、この問題を緩和できる。AMD は、この脆弱性はローカル・アクセスを必要とするため、AMD は潜在的な影響は低いと考えている — AMD

今日の December 2023 Patch Tuesday の一環として Microsoft は、影響を受ける AMD プロセッサーに存在するバグを解決するための、セキュリティ・アップデートをリリースした。

他社における最新のアップデート

2023年12月にアップデートまたはアドバイザリをリリースした、その他のベンダーは以下のとおりである：

• Qualcomm／MediaTek のチップ：5Ghoul 攻撃により 5G 携帯電話でサービス停止する可能性がある。
  
  
• Atlassian：Confluence／Jira／Bitbucket に存在する、４件の深刻なリモートコード実行 (RCE) の脆弱性対するセキュリティアップデートをリリース。
  
  
• Apple：最近のゼロデイに対するパッチを、旧式の iPhone／Apple Watch／Apple TVの一部モデルにバックポートした。
  
  
• Cisco：Cisco ASA／Firepower に存在する脆弱性に対処し、IP アドレスのなりすましを阻止するためのセキュリティ・アップデートをリリース。
  
  
• Google：Android 2023年12月のセキュリティ・アップデートをリリースし、深刻なゼロデイを修正した。
  
  
• SAP：2023年12月の Patch Day アップデートをリリース。
  
  
• Sierra Wireless：Sierra OT/IoT ルーターに影響を及ぼす、21件の脆弱性に対するセキュリティ・アドバイザーをリリース。
  
  
• Intel／AMD／Arm：次世代 CPU から機密データが窃取される、SLAM サイドチャネル攻撃に対応。
  
  
• VMware：Cloud Director に存在する深刻な認証バイパスを修正。
  
  
• WordPress：RCE 攻撃につながる可能性のある POP チェーンを修正。

2023年12月の Patch Tuesday のフルリストは、ココで参照できる。

Microsoft の Patch Tuesday 12月がリリースされました。今月の脆弱性の件数も、先月と同様に少ないと、お隣のキュレーション・チームが喜んでいました。この３ヶ月間のアップデートは、以下のとおりです。

Microsoft 09月：２件のゼロデイと 59件の脆弱性に対応
Microsoft 10月：３件のゼロデイと 104件の脆弱性に対応
Microsoft 11月：５件のゼロデイと 58件の脆弱性に対応