Microsoft June 2024 Patch Tuesday fixes 51 flaws, 18 RCEs
2024/06/11 BleepingComputer — 今日は Microsoft の June 2024 Patch Tuesday であり、18件のリモート・コード実行の脆弱性および、1件のゼロデイ脆弱性を含む、51件の脆弱性に対するセキュリティ更新プログラムがリリースされた。今回の Patch Tuesday で修正された RCE 脆弱性のうち、脅威度が Critical の脆弱性は、Microsoft Message Queuing (MSMQ) の脆弱性の1 件のみとなっている。
![](https://iototsecnews.jp/wp-content/uploads/2024/06/microsoft-1.png?w=660)
それぞれの脆弱性カテゴリーにおける、バグの件数は以下の通りである:
- 25件:特権昇格の脆弱性
- 18件:リモート・コード実行の脆弱性
- 3件:情報漏えいの脆弱性
- 5件:サービス拒否の脆弱性
合計で 51件の脆弱性が修正されたが、6月3日に修正された Microsoft Edge の脆弱性7件は含まれていない。
本日リリースされた、非セキュリティ更新プログラムの詳細については、新しい累積更新プログラムである、Windows 11 KB5039212/Windows 10 KB5039211 に関する専用の記事を参照してほしい。
1件のゼロデイが修正
今月の Patch Tuesday で修正された脆弱性には、一般に公開されている1件のゼロデイが含まれるが、現時点で活発に悪用されている脆弱性の修正はなかった。Microsoft では、公式な修正プログラムが提供されていないが、すでに一般に公開されている脆弱性と、積極的に悪用されている脆弱性を、ゼロデイとして分類している。
一般に公開されているゼロデイ脆弱性は、以前に公開された DNS プロトコルの “Keytrap” 攻撃であり、Microsoft は本日のアップデートの一部として修正している。
CVE-2023-50868 – MITRE:NSEC3 に最も近いエンクローザ証明における過剰な CPU 負荷の誘発
Microsoft は、「脆弱性 CVE-2023-50868 は、DNSSEC 検証の欠陥に起因するものだ。DNS の完全性を意図した標準的な DNSSEC プロトコルを悪用する攻撃者が、リゾルバのリソースを過剰に使用することで、正当なユーザーに対するサービス拒否を引き起こす可能性がある。この CVE は、Microsoft に代わり、MITRE により採番された」とアドバイザリで述べている。
この脆弱性は2月に公開されたものであり、BIND/PowerDNS/Unbound/Knot Resolver/Dnsmasq などの、多くの DNS 実装に対してパッチが適用されている。
今月に修正された、その他の脆弱性には、プレビュー・ペインから悪用可能な Microsoft Outlook の RCE 脆弱性を含む、Microsoft Office における複数のリモート・コード実行の脆弱性も含まれる。
さらに Microsoft は、ローカル攻撃者に SYSTEM 権限の獲得を許す可能性のある、7件の Windows カーネル権限昇格の欠陥も修正した。
最近の他社のアップデート
2024年6月において、セキュリティ・アップデートや脆弱性アドバイザリをリリースしたのは、以下のベンダーとなる:
- Apple:visionOS 1.2 リリースで 21 件の脆弱性を修正。
- ARM:Mali GPU カーネル・ドライバで悪用される脆弱性を修正。
- Cisco:Cisco Finesse/Webex のセキュリティ・アップデートをリリース。
- Cox:100万台のモデムに影響を与えた API 認証バイパスの脆弱性を修正。
- F5:BIG-IP Next Central Manager API に存在する、2件の高深刻度の脆弱性に対するセキュリティ・アップデートをリリース。
- PHP:ランサムウェア攻撃で悪用されている RCE の重大な脆弱性を修正。
- TikTok:同社のダイレクト・メッセージ機能で悪用されるゼロデイ:ゼロクリックの脆弱性を修正。
- VMware:Pwn2Own 2024で悪用が証明された、3件のゼロデイ脆弱性を修正。
- Zyxel:製造終了 (EOL) の NAS デバイス向けに緊急 RCE パッチをリリース。
SAP の Patch Tuesday セキュリティ・アップデートに関しては、残念なことに、ログインをしないと閲覧できない仕様に変更された。
2024年6月の Patch Tuesday のフルリストは、ココで参照できる。
2024年5月の Patch Tuesday が、それほどの量がなく、お隣のキュレーション・チームも、ホッと胸をなでおろしていたようです。この人たち、Patch Tuesday の日になると、つまり、日本時間の水曜の未明になると Slack に集まってきて、アアでもない、コウでもないと、大量のメッセーを交換しながら作業して、終わると消えていくという、ちょっと不思議な人たちです。こうして、セキュリティは守られているのだと、いつも感心しながら見ています。
![](https://iototsecnews.jp/wp-content/uploads/2024/06/unnamed.png?w=512)
You must be logged in to post a comment.