Microsoft 2024-03 月例アップデート:18件の RCE バグと 73件の脆弱性に対応

Microsoft March 2024 Patch Tuesday fixes 60 flaws, 18 RCE bugs

2024/03/12 BleepingComputer — 今日は Microsoft の2024年3月 Patch Tuesday であり、18件のリモート・コード実行の欠陥を含む、60件の脆弱性に対するセキュリティ更新プログラムがリリースされた。今回の Patch Tuesday で修正された深刻な脆弱性は、Hyper-V のリモートコード実行とサービス拒否2件のみとなっている。


今月の Patch Tuesday における、各脆弱性カテゴリのバグ件数は、以下の通りである。

  • 24件:特権昇格の脆弱性
  • 3件:セキュリティ機能バイパスの脆弱性
  • 18件:リモート・コード実行の脆弱性
  • 6件:情報開示の脆弱性
  • 6件:サービス拒否の脆弱性
  • 2件:スプーフィング脆弱性

なお、合計で 60件の脆弱性には、3月7日に修正された Microsoft Edge の脆弱性4件は含まれていない。さらに Microsoft は、本日の Patch Tuesday の中で、ゼロデイは開示していない。

また、本日に公開されたセキュリティ以外の更新プログラムの詳細については、最新の Windows 11 KB5035853/Windows 10 KB5035845 更新プログラムの記事を参照してほしい。

注目すべき欠陥

今月の Patch Tuesday には、ゼロデイ脆弱性の修正は存在しないが、いくつかの興味深い欠陥が含まれている。

CVE-2024-26199 :Microsoft Office の特権昇格の脆弱性

Microsoft は、すべての認証済みユーザーが、SYSTEM 権限を取得できる Office の脆弱性を修正した。同社は、「認証されたユーザーであれば誰もが、この脆弱性を悪用できる可能性がある。つまり管理者権限などの、昇格した権限は必要ない」と説明している。この脆弱性は、Hacking Corporation Sarl の Ivan Almuina により発見された。

CVE-2024-20671: Microsoft Defender のセキュリティ機能バイパスの脆弱性

Microsoft Defender の脆弱性が修正された。認証された攻撃者が、この脆弱性の悪用に成功すると、Microsoft Defender が起動しなくなる可能性がある。ただし、この問題は、Windows デバイスに自動的にインストールされる、Windows Defender Antimalware Platform のアップデートにより解決されるよう、バージョン 4.18.24010.12 で修正されている。この脆弱性は、Infoguard (Vurex) のManuel Feifel氏 により発見されたとのことだ。

CVE-2024-21411:Skype for Consumer のリモート・コード実行の脆弱性

Microsoft は、悪意のリンクまたは画像により引き起こされる、リモートコード実行の脆弱性 Skype for Consumer を修正した。同社は、「インスタント・メッセージ経由で悪意のリンク画像をユーザーに送信する攻撃者が、それらをクリックさせることで、この脆弱性の悪用が引き起こされる」と説明している。Microsoft によると、この欠陥は Trend Micro Zero Day Initiative の Hector Peralta と Nicole Armua により発見されたとのことだ。

最近の他社のアップデート

2024年3月に、アップデートやアドバイザリをリリースしたベンダーは以下の通りである:

  • AnyCubic:2月に悪用されたゼロデイ脆弱性を修正するために、新しい Kobra 2 ファームウェアをリリース。
  • Apple:iOS の2つのゼロデイ脆弱性を修正するセキュリティ・アップデートをリリース。
  • Cisco:複数の製品のセキュリティ・アップデートをリリース。
  • Fortinet:FortiOS/FortiProxy のセキュリティアップデートをリリース。
  • Google:Android 2024年3月版のセキュリティ・アップデートをリリース。
  • Intel:新しいマイクロ・アーキテクチャの脆弱性 RFDS (Register File Data Sampling) に関するアドバイザリをリリース。
  • QNAP:QTS/QuTS hero/QuTScloud/ myQNAPcloud の認証バイパスに関するセキュリティ・アップデートをリリース。
  • SAP:2024年3月の Patch Tuesday をリリース。
  • VMware:VMware ESXi/Workstation/Fusion/Cloud Foundation におけるサンドボック・スエスケープの深刻な脆弱性を修正するセキュリティ・アップデートをリリース。

2024年3月の Patch Tuesday のフルリストは、ココで参照できる。

Microsoft の Patch Tuesday で修正される脆弱性の件数ですが、2023年10月の 104件を最後に、11月は 58件、12月は 34件、2024年1月は 49件、2月は 73件というふうに、だいぶ落ち着いています。お隣のキュレーション・チームも、このところは平和だと、喜んでいました。今年は、こんな感じで推移するとよいですね。