Microsoft December 2024 Patch Tuesday fixes 1 exploited zero-day, 71 flaws
2024/12/10 BleepingComputer — 今日は、Microsoft の December 2024 Patch Tuesday の日である。今月の Patch Tuesday では、71件の脆弱性に対するセキュリティ更新が提供されたが、その中には、公開された1件のゼロデイ脆弱性が含まれている。なお、今回の Patch Tuesday では、16件のリモート・コード実行の脆弱性が修正されている。
それぞれの脆弱性を、カテゴリ分類すると、以下のようになる。
- 27件:権限昇格の脆弱性
- 30件:リモート コード実行の脆弱性
- 7件:情報漏えいの脆弱性
- 5件:サービス拒否の脆弱性
- 1件:スプーフィングの脆弱性
なお、上記の件数には、12月5日と6日付けで修正された、2件の Edge の脆弱性は含まれない。
また、今日にリリースされたセキュリティ以外のアップデート詳細については、Windows 11 KB5048667/KB5048685 累積アップデートと、Windows 10 KB5048652 アップデートに関する専用記事を参照してほしい。
1つのゼロデイ脆弱性が公開
今月の Patch Tuesday では、1つのゼロデイ脆弱性が修正されている。この脆弱性は、積極的に悪用され、一般に公表されている。Microsoft の、ゼロデイ脆弱性の定義は、公式の修正プログラムが利用できない間に公開されたもの、もしくは、積極的に悪用されているものとなる。今回の更新プログラムで修正された、積極的に悪用されているゼロデイ脆弱性は、以下の通りである。
CVE-2024-49138:Windows Common Log File System における特権昇格の脆弱性
Windows デバイス上で、SYSTEM 特権の獲得を攻撃者に許してしまう、ゼロデイ脆弱性が修正された。現時点において、この脆弱性の悪用方法については、情報が公開されていない。しかし、この脆弱性は、今後において悪用される可能性が高いと、CrowdStrike の Advanced Research Team は指摘している。BleepingComputer は CrowdStrike に詳細を問い合わせたが、現時点では回答は得られていない。
他ベンダーによる最近のアップデート
2024年12月に、アップデートまたはアドバイザリをリリースしたベンダーは、以下のとおりである。
- Adobe:Photoshop/Commerce/Illustrator/InDesign/After Effects/Bridge などのセキュリティ更新プログラムをリリース。
- CISA:MOBATIME/Schneider Electric/National Instruments/Horner Automation/Rockwell Automation/Ruijie における、産業用制御システムの脆弱性に関する勧告をリリース。
- Cleo:Harmony/VLTrader/LexiCom に存在するゼロデイ脆弱性が、データ窃取攻撃において悪用されていることが確認された。
- Cisco:Cisco NX-OS/Cisco ASA を含む、複数の製品向けのセキュリティ更新プログラムをリリース。
- IO-Data:ルーターのゼロデイ脆弱性が攻撃に悪用され、デバイスが乗っ取られたとする、セキュリティ勧告を公開。
- 0patch:Windows のゼロデイ NTLM 脆弱性の非公式パッチをリリース。
- OpenWrt:Sysupgrade の脆弱性に関するセキュリティ更新プログラムをリリース。
- SAP:12月のパッチ・デイの一環として、複数の製品に対するセキュリティ更新プログラムをリリース。
- Veeam:Service Provider Console の重大な RCE バグに対するセキュリティ更新プログラムをリリース。
December 2024 Patch Tuesday のフルリストは、ココで参照できる。
今月の Patch Tuesday には、1件のセロデイ・エクスプロイトが含まれています。アップデートを忘れないよう、お気をつけください。よろしければ、Microsoft + 月例で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.