Microsoft 2024-06 月例アップデート:1件のゼロデイと 51件の脆弱性に対応

Microsoft June 2024 Patch Tuesday fixes 51 flaws, 18 RCEs

2024/06/11 BleepingComputer — 今日は Microsoft の June 2024 Patch Tuesday であり、18件のリモート・コード実行の脆弱性および、1件のゼロデイ脆弱性を含む、51件の脆弱性に対するセキュリティ更新プログラムがリリースされた。今回の Patch Tuesday で修正された RCE 脆弱性のうち、脅威度が Critical の脆弱性は、Microsoft Message Queuing (MSMQ) の脆弱性の1 件のみとなっている。


それぞれの脆弱性カテゴリーにおける、バグの件数は以下の通りである:

  • 25件:特権昇格の脆弱性
  • 18件:リモート・コード実行の脆弱性
  • 3件:情報漏えいの脆弱性
  • 5件:サービス拒否の脆弱性

合計で 51件の脆弱性が修正されたが、6月3日に修正された Microsoft Edge の脆弱性7件は含まれていない。

本日リリースされた、非セキュリティ更新プログラムの詳細については、新しい累積更新プログラムである、Windows 11 KB5039212Windows 10 KB5039211 に関する専用の記事を参照してほしい。

1件のゼロデイが修正

今月の Patch Tuesday で修正された脆弱性には、一般に公開されている1件のゼロデイが含まれるが、現時点で活発に悪用されている脆弱性の修正はなかった。Microsoft では、公式な修正プログラムが提供されていないが、すでに一般に公開されている脆弱性と、積極的に悪用されている脆弱性を、ゼロデイとして分類している。

一般に公開されているゼロデイ脆弱性は、以前に公開された DNS プロトコルの “Keytrap” 攻撃であり、Microsoft は本日のアップデートの一部として修正している。

CVE-2023-50868 – MITRE:NSEC3 に最も近いエンクローザ証明における過剰な CPU 負荷の誘発

Microsoft は、「脆弱性 CVE-2023-50868 は、DNSSEC 検証の欠陥に起因するものだ。DNS の完全性を意図した標準的な DNSSEC プロトコルを悪用する攻撃者が、リゾルバのリソースを過剰に使用することで、正当なユーザーに対するサービス拒否を引き起こす可能性がある。この CVE は、Microsoft に代わり、MITRE により採番された」とアドバイザリで述べている。

この脆弱性は2月に公開されたものであり、BIND/PowerDNS/Unbound/Knot Resolver/Dnsmasq などの、多くの DNS 実装に対してパッチが適用されている。

今月に修正された、その他の脆弱性には、プレビュー・ペインから悪用可能な Microsoft Outlook の RCE 脆弱性を含む、Microsoft Office における複数のリモート・コード実行の脆弱性も含まれる。

さらに Microsoft は、ローカル攻撃者に SYSTEM 権限の獲得を許す可能性のある、7件の Windows カーネル権限昇格の欠陥も修正した。

最近の他社のアップデート

2024年6月において、セキュリティ・アップデートや脆弱性アドバイザリをリリースしたのは、以下のベンダーとなる:

  • Apple:visionOS 1.2 リリースで 21 件の脆弱性を修正。
  • ARM:Mali GPU カーネル・ドライバで悪用される脆弱性を修正。
  • Cisco:Cisco Finesse/Webex のセキュリティ・アップデートをリリース。
  • Cox:100万台のモデムに影響を与えた API 認証バイパスの脆弱性を修正。
  • F5:BIG-IP Next Central Manager API に存在する、2件の高深刻度の脆弱性に対するセキュリティ・アップデートをリリース。
  • PHP:ランサムウェア攻撃で悪用されている RCE の重大な脆弱性を修正。
  • TikTok:同社のダイレクト・メッセージ機能で悪用されるゼロデイ:ゼロクリックの脆弱性を修正。
  • VMware:Pwn2Own 2024で悪用が証明された、3件のゼロデイ脆弱性を修正。
  • Zyxel:製造終了 (EOL) の NAS デバイス向けに緊急 RCE パッチをリリース。

SAP の Patch Tuesday セキュリティ・アップデートに関しては、残念なことに、ログインをしないと閲覧できない仕様に変更された。

2024年6月の Patch Tuesday のフルリストは、ココで参照できる。

2024年5月の Patch Tuesday が、それほどの量がなく、お隣のキュレーション・チームも、ホッと胸をなでおろしていたようです。この人たち、Patch Tuesday の日になると、つまり、日本時間の水曜の未明になると Slack に集まってきて、アアでもない、コウでもないと、大量のメッセーを交換しながら作業して、終わると消えていくという、ちょっと不思議な人たちです。こうして、セキュリティは守られているのだと、いつも感心しながら見ています。