Microsoft 2024-07 月例アップデート：４件のゼロデイと 142件の脆弱性に対応

Microsoft July 2024 Patch Tuesday fixes 142 flaws, 4 zero-days

2024/07/09 BleepingComputer — 今日は Microsoft の July 2024 Patch Tuesday であり、積極的に悪用されている２件の欠陥と、公表されている２件のゼロデイを含む、全体で 142件の脆弱性対するセキュリティ・アップデートが提供された。今回の Patch Tuesday では、５件の深刻な脆弱性が修正されたが、そのすべてがリモート・コード実行の不具合である。

各脆弱性カテゴリーにおける、バグの件数は以下の通りである：

• 26件：特権昇格の脆弱性
• 24件：セキュリティ・バイパス脆弱性
• 59件：リモート・コード実行の脆弱性
• 9件：情報漏えいの脆弱性
• 17件：サービス拒否の脆弱性
• 7件：スプーフィングの脆弱性

なお、同じく今日付けでリリースされた、非セキュリティ更新プログラムの詳細については、最新の Windows 11 KB5040435 更新プログラムおよび、Windows 10 KB5040427 更新プログラムに関する情報を参照してほしい。

４件のゼロデイを修正

今月の Patch Tuesday では、積極的に悪用されている２件のゼロデイ脆弱性と、一般に公開されている２件のゼロデイ脆弱性が修正された。Microsoft におけるゼロデイ脆弱性の定義は、公式な修正プログラムが提供されていないが、すでに一般に公開されている脆弱性、および、積極的に悪用されている脆弱性となっている。

今日のアップデートに含まれる、積極的に悪用されている２件のゼロデイ脆弱性は以下の通りである：

CVE-2024-38080 – Windows Hyper-V における特権昇格の脆弱性

攻撃者に SYSTEM 権限を与えてしまう、Hyper-V の特権昇格の脆弱性が修正された。Microsoft は、「この脆弱性の悪用に成功した攻撃者は、SYSTEM 権限を得る可能性がある」と説明している。なお、この脆弱性の積極的な悪用における、発見者などに関する詳細情報について、同社は明らかにしていない。

CVE-2024-38112 – Windows MSHTML プラットフォームのスプーフィング脆弱性

積極的にに悪用されている、Windows MSHTML スプーフィングの脆弱性が修正された。Microsoft は、「この脆弱性の悪用を成功させる前提として、攻撃者にとって必要なことは、事前のターゲット環境に対する準備である。つまり、被害者に実行させる悪意のファイルを、事前に送信する必要がある」と説明している。なお、この脆弱性の積極的な悪用に関する詳細情報について、同社は明らかにしていない。この脆弱性を公表したのは、Check Point Research の Haifei Li である。

一般に公表されている脆弱性は２件である：

CVE-2024-35264 – .NET および Visual Studio のリモート・コード実行の脆弱性

すでに公開されている、.NET／Visual Studio の RCE の脆弱性が修正されたMicrosoft は、「攻撃者は、リクエスト本体が処理されている間に、http/3 ストリームを閉じることで、競合状態を引き起こす可能性を得る。その結果として、リモート・コード実行へといたる可能性が生じる」と述べている。なお、この脆弱性の詳細情報について、同社は明らかにしていない。この脆弱性を公表したのは、Microsoft の Radek Zikmundである。

CVE-2024-37985 – Arm： CVE-2024-37985 プロプライエタリ・プリフェッチャーの体系的な特定と特徴づけ

以前に公開された、”FetchBench” サイドチャネル攻撃の問題が修正された。Microsoft は、「この脆弱性の悪用に成功した攻撃者は、サーバ上で実行されている特権プロセスからヒープメモリを参照できる。この脆弱性の悪用を成功させる前提として、攻撃者にとって必要なことは、事前のターゲット環境に対する準備である」と述べている。

他社の最近のアップデート

2024年7月ににおいて、アップデート／アドバイザリをリリースした他のベンダーは以下の通りである：

• Adobe：Premiere Pro／InDesign／Bridge のセキュリティアップデートを公開。
• Cisco：攻撃で悪用された NX-OS ソフトウェアの、CLI コマンド・インジェクションの脆弱性を公開。
• Citrix：Windows Virtual Delivery Agent と、Citrix Workspace アプリの欠陥を修正。
• GhostScript：2024年5月に修正された RCE の脆弱性、攻撃で悪用されていることを公表。
• Firtinet：FortiOS などに存在する、複数の脆弱性を修正。
• Mozilla：複数の脆弱性を修正する、Firefox 128 をリリース。
• OpenSSH：regreSSHion RCE の脆弱性を修正。昨日には、同様の２つ目の脆弱性 CVE-2024-6409 も公開。
• VMware：Cloud Director の HTMLインジェクションの脆弱性を修正。
  

July 2024 Patch Tuesday のフルリストは、ココで参照できる。

今月の Patch Tuesday は 142件もあり、お隣のキュレーション・チームが悲鳴を上げていました。また、４件のゼロデイがあり、悪用されているものもあるので、この後に続報が出てくると思われます。それらも、追跡してきたいと思っています。よろしければ、Microsoft + 月例 で検索も、ご利用ください。