Microsoft January 2024 Patch Tuesday fixes 49 flaws, 12 RCE bugs
2024/01/09 BleepingComputer —今日は Microsoft マ2024年1月 Patch Tuesday であり、合計 49件の脆弱性に対するセキュリティ更新プログラムが提供されたが、そのうちの 12件はリモート・コード実行に関するものである。致命的とされた脆弱性は2件のみであり、1件目は Windows Kerberos Security Feature Bypass であり、2件目は Hyper-V RCE である。
各脆弱性カテゴリーにおけるバグ数は以下の通りだ:
- 10件:特権昇格の脆弱性
- 7件:セキュリティ機能バイパスの脆弱性
- 12件:リモート・コード実行の脆弱性
- 11件:情報漏えいの脆弱性
- 6件:サービス拒否の脆弱性
- 3件:スプーフィングの脆弱性
なお、合計で 49件の脆弱性には、1月5日に修正された Microsoft Edge の脆弱性4件は含まれていない。
また、今日にリリースされた非セキュリティ更新プログラムの詳細については、新しい累積更新プログラムである、Windows 11 KB5034123/Windows 10 KB5034122 を参照してほしい。
今月の興味深い脆弱性
今月は、積極的に悪用された脆弱性や、一般に公開された脆弱性はなかったが、とても興味深い脆弱性があった。
Microsoft は、Office のリモートコード実行の脆弱性 CVE-2024-20677 を修正した。この脆弱性の悪用に成功した攻撃者は、悪意を持って細工された Office ドキュメントを作成し、そこに FBX 3D モデル・ファイルを埋め込むことで、リモート・コード実行を可能にする。
Microsoft のアドバイザリには、「FBX には、リモート・コード実行の脆弱性が存在する。この脆弱性を軽減するため、Windows/Mac の Word/Excel/PowerPoint/Outlook では、FBXファイルを挿入する機能が無効化されている」と記されている。
このアドバイザリには、「この機能が有効になっていたバージョンの Office では、FBX に関連する機能が利用できなくなる。そこに含まれるのは、Office 2019/Office 2021/Office LTSC for Mac 2021/Microsoft 365 である。以前に FBXファイルから挿入された、Office ドキュメントの 3D モデルは、挿入時に “ファイルへのリンク” オプションが選択されていない限り、期待通りに動作し続ける」と付け加えられている。
CVE-2024-20674として追跡されていた、Windows Kerberos の深刻なバグも修正された。この脆弱性の悪用に成功した攻撃者が、認証機能をバイパスできるという問題は解決された。
同社のサポート速報には、「未認証の攻撃者は、MITM (machine-in-the-middle) 攻撃または、他のローカル・ネットワーク・スプーフィング技術を確立し、悪意のKerberos メッセージをクライアント・マシンに送信して、Kerberos 認証サーバになりすますことで、この脆弱性を悪用できていた」と記されている。
他社の最近のアップデート
2023年1月にアップデートやアドバイザリをリリースしたベンダーには、以下のとおりである:
- Cisco:Cisco Identity Services Engine における特権昇格の欠陥に対するセキュリティ更新プログラムをリリース。
- Google:Android の 2024年1月セキュリティ・アップデートをリリース。
- Ivanti:エンドポイント管理ソフトウェア (EPM) における、深刻なリモートコード実行の脆弱性に対するセキュリティ更新プログラムをリリース。
- Quantum:新たな KyberSlash 攻撃に対する、暗号化プロジェクトをリリース。
- SAP:2024年1月 の Patch Day アップデートをリリース。
2024年1月の Patch Tuesday のフルリストは、ココで参照できる。
脆弱性の件数が少なく、ゼロデイも無いということで、とても穏やかな Patch Tuesday だと、お隣のキュレーション・チームが喜んでしました。2023年10月には 104件の静寂性がありましたが、その後は 11月 58件、12月 34件と、穏やかに推移しています。これからも、毎月が、こんな感じだと良いですね。
IoT OT Security News 
You must be logged in to post a comment.