エクスプロイト&脆弱性
2022年3月のセキュリティアップデート解説:Adobe社が3件、Microsoft社が92件のパッチを公開
3月8日火曜日にAdobe社とMicrosoft社から最新のセキュリティアップデートが公開されました。今回リリースされたセキュリティ更新プログラムの詳細について確認しましょう。
3月8日火曜日にAdobe社とMicrosoft社から最新のセキュリティアップデートが公開されました。今回リリースされたセキュリティ更新プログラムの詳細について確認しましょう。
■ Adobe社による2022年3月のセキュリティ更新プログラム
3月、Adobe社からリリースされたパッチは、かなり少なめです。今月、Adobe社は「Adobe Photoshop」、「Adobe Illustrator」、「Adobe After Effects」で確認された脆弱性6件に対処する3つのパッチをリリースしました。After Effectsのパッチは、この3つの中で最も脆弱性に対する影響緩和の範囲が大きいです。このパッチを適用することで、任意のコード実行につながる「Critical(緊急)」評価された4件のスタックベースのバッファオーバーフローの脆弱性が修正されます。「緊急」評価されたIllustratorの脆弱性に対処するパッチもリリースされました。このパッチは、任意のコード実行につながる単一のバッファオーバーフローの脆弱性に対処します。最後にPhotoshopのアップデートでは「Important(重要)」評価された1件のメモリコンテンツの情報漏えいにつながる脆弱性が修正されます。
今月Adobe社によって修正された脆弱性はいずれも、リリース時点で一般に公開されている、あるいは悪用の事実が確認されているものはありません。
■ Microsoft社による2022年3月のセキュリティ更新プログラム
3月、Microsoft社は、「Microsoft Windows」および「Windowsコンポーネント」、「Azure Site Recovery」、「Microsoft Defender for Endpoint / IoT」、「Microsoft Intune」、「Microsoft Edge(Chromium版)」、「Windows HTMLプラットフォーム」、「Microsoft Office」および「Microsoft Officeコンポーネント」、「Skype for Chrome」、「.NETとVisual Studio」、「Windows リモート デスクトップ プロトコル(RDP)」、「SMB Server」、「Xbox」で確認された脆弱性71件に対処する新たなパッチをリリースしました。さらに今月初めにMicrosoft Edge(Chromium版)の脆弱性21件に対処するパッチがリリースされているため、3月に対処された脆弱性は合計92件となります。
今月パッチがリリースされた71件の脆弱性のうち、深刻度が「緊急」と評価されたものは3件、「重要」と評価されたものは68件です。これらの脆弱性のうち7件が「Zero Day Initiative(ZDI)」による「ZDI program」を通して報告されたものです。71件という数は、例年3月のアップデートで対処される脆弱性総数としては平均的です。しかしながら「緊急」と評価された脆弱性に対処するパッチの数は、この総数にしては少ないと言えます。緊急評価された脆弱性の占める割合が少ないのは単なる偶然なのか、それともMicrosoft社がこれまでとは異なる計算方法で深刻度を評価しているのかは明らかとなっていません。
今月Microsoft社によって修正された脆弱性はいずれも悪用の事実が確認されているものはありませんが、3件の脆弱性はリリース時点で一般に公開「あり」と記載されています。3月にリリースされたアップデートのうち、より興味深いものを詳しく見てみましょう。まずは一般公開されている脆弱性の1つから解説します。
- CVE-2022-21990 - リモート デスクトップ クライアントのリモートでコードが実行される脆弱性
このクライアント側の脆弱性には、サーバ側に関連するRDPの脆弱性と同じ影響力はありませんが、一般に公開「あり」と記載された脆弱性であるため、緊急評価された脆弱性と同様に優先的にパッチをテストし、適用することが推奨されます。攻撃者が影響を受けるRDPクライアントを自身のRDPサーバに接続するよう促すことができる場合、標的クライアント上でコード実行を引き起こせる可能性があります。RDPの脆弱性「CVE-2019-0708」(通称「BlueKeep」)や他のRDPサーバの脆弱性ほど深刻ではありませんが、早急にパッチを適用することが推奨されます。
- CVE-2022-23277 - Microsoft Exchange Server のリモートでコードが実行される脆弱性
Exchange Serverに内在するこの「緊急」評価された脆弱性は、長年ZDIに貢献しているMarkus Wulftange氏によって報告されました。この脆弱性により認証された攻撃者は、ネットワーク呼び出しを通じて昇格した特権で任意のコードを実行できる可能性があります。また、この脆弱性は攻撃条件の複雑さが低いほか、悪用される可能性が高いと記載されていることから、認証が必要であるにもかかわらず、すぐに悪用されても不思議ではありません。この脆弱性に対しても優先的にパッチをテストし、早急に適用することが推奨されます。
- CVE-2022-24508 - Windows SMBv3 クライアント/サーバのリモートでコードが実行される脆弱性
この脆弱性が攻撃者に悪用されると、Windows 10 バージョン 2004以降のシステム上でコードが実行される可能性があります。これは数年前に確認されたRCEの脆弱性「CVE-2020-0796」を彷彿とさせます。どちらの場合もSMBサーバに対する回避策としてSMBv3圧縮を無効にすることが挙げられていますが、クライアント側では役に立ちません。2020年、Microsoft社はSMBv3圧縮について「WindowsやWindows Serverでは現在も使用されておらず、SMB圧縮を無効にしてもパフォーマンスに悪影響はありません」と言及しました。これは現在のアドバイザリには含まれておらず、今この機能を無効にすることで何がもたらされるのかは不明です。この脆弱性を悪用するには認証が必要ですが、クライアントとサーバの両方に影響を与えることから、攻撃者がネットワーク内での内部活動(横展開)にこの脆弱性を悪用する可能性があります。この脆弱性に対しても緊急評価された脆弱性と同様に優先的にパッチをテストし、早急に適用することが推奨されます。
- CVE-2022-21967 - Xbox Live Auth Manager for Windows の特権の昇格の脆弱性
これは、Xboxに影響を与える脆弱性を修正するためにリリースされた初めてのセキュリティパッチだとみられています。2015年にXbox Live用の証明書が誤って開示されたことに対するアドバイザリが公開されたことはありましたが、デバイスそのものに対するセキュリティに特化したアップデートは今回が初めてだと考えられます。Microsoft社は、他のWindows OSがこの脆弱性の影響を受けることはないとしています。攻撃者がどのようにこの脆弱性を悪用して特権を昇格させるのかは明らかとなっていませんが、Auth Managerコンポーネントが影響を受けることが記載されています。このサービスは、Xbox Liveサービスとのやり取りを処理します。XboxやXbox Liveに依存している企業は少ないと思いますが、依存している場合は、早急にパッチを適用することが推奨されます。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSSスコア | 一般公開 | 悪用の事実 | 種類 |
CVE-2022-21990 | リモート デスクトップ クライアントのリモートでコードが実行される脆弱性 | 重要 | 8.8 | あり | なし | RCE |
CVE-2022-23277 | Microsoft Exchange Server のリモートでコードが実行される脆弱性 | 緊急 | 8.8 | なし | なし | RCE |
CVE-2022-24508 | Windows SMBv3 クライアント/サーバのリモートでコードが実行される脆弱性 | 重要 | 8.8 | なし | なし | RCE |
CVE-2022-21967 | Xbox Live Auth Manager for Windows の特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
2022年3月にMicrosoft社が更新プログラムで対処している脆弱性の一覧はこちらから確認してください。
3月にリリースされた残りのパッチを見ると、Azure Site Recoveryに影響を与える11件の脆弱性が目に留まります。Azure Site Recoveryとは、ネイティブの「サービスとしてのディザスタ・リカバリ(DRaaS:Disaster Recovery as a Service)」のことです。今月のリリースには、当該プラットフォームに内在する特権昇格(EoP)の脆弱性5件およびリモートコード実行(RCE)の脆弱性6件に対処するパッチが含まれています。世界で起こっていることすべてを考慮すると、災害復旧計画で問題を抱える事態を回避せねばなりません。当該プラットフォームを利用している場合は、これらのパッチが適用されていることを確認してください。当該プラットフォームを利用していない場合は、災害復旧計画を見直すことも推奨されます。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSSスコア | 一般公開 | 悪用の事実 | 種類 |
CVE-2022-24469 | Azure Site Recovery の特権の昇格の脆弱性 | 重要 | 8.1 | なし | なし | EoP |
CVE-2022-24506 | Azure Site Recovery の特権の昇格の脆弱性 | 重要 | 6.5 | なし | なし | EoP |
CVE-2022-24515 | Azure Site Recovery の特権の昇格の脆弱性 | 重要 | 6.5 | なし | なし | EoP |
CVE-2022-24518 | Azure Site Recovery の特権の昇格の脆弱性 | 重要 | 6.5 | なし | なし | EoP |
CVE-2022-24519 | Azure Site Recovery の特権の昇格の脆弱性 | 重要 | 6.5 | なし | なし | EoP |
CVE-2022-24467 | Azure Site Recovery のリモートでコードが実行される脆弱性 | 重要 | 7.2 | なし | なし | RCE |
CVE-2022-24468 | Azure Site Recovery のリモートでコードが実行される脆弱性 | 重要 | 7.2 | なし | なし | RCE |
CVE-2022-24470 | Azure Site Recovery のリモートでコードが実行される脆弱性 | 重要 | 7.2 | なし | なし | RCE |
CVE-2022-24471 | Azure Site Recovery のリモートでコードが実行される脆弱性 | 重要 | 7.2 | なし | なし | RCE |
CVE-2022-24517 | Azure Site Recovery のリモートでコードが実行される脆弱性 | 重要 | 7.2 | なし | なし | RCE |
CVE-2022-24520 | Azure Site Recovery のリモートでコードが実行される脆弱性 | 重要 | 7.2 | なし | なし | RCE |
今月のリリースには、すでに解説したExchange serverの脆弱性のほかに、HEVCおよびVP9ビデオ拡張機能に内在する「緊急」評価された脆弱性に対処するパッチも含まれています。これらのアップデートは、Microsoft Storeから入手できます。Microsoft storeの自動更新を無効にしている場合、あるいはインターネットに接続されていない環境(閉域網など)にある場合は、手動で更新する必要があります。
すでに解説した脆弱性を含め、今月リリースされたRCEの脆弱性に対処するパッチは全部で28件です。さらにHEVCビデオ拡張機能コンポーネントのアップデートも追加されています。重複となりますが、これらの更新プログラムはMicrosoft Storeから入手でき、Raw画像拡張機能の脆弱性もこの部類に入ります。今月リリースされたパッチの中には、ZDIプログラムを通じてkdot氏から報告されたMicrosoft Visioの脆弱性に対処するものが3つあります。これらの脆弱性には、型の取り違え、信頼できないポインタの参照、境界外書き込み(Out-of-Bounds write)が含まれます。いずれの場合も、ユーザが特別に細工されたVisioファイルを開かなければ影響を受けることはありません。その他の一般公開されている脆弱性の1つが、.NETとVisual Studioに内在するRCEの脆弱性です。この脆弱性に関する情報はほとんどありませんが、.NETとVisual Studio内でアプリを開発している場合は、十分に確認する必要があります。遠隔手続き呼び出し(RPC、Remote Procedure Call)の脆弱性を悪用する手口は決して陳腐化することがないため、特別に細工されたRPC接続を介してコード実行される可能性のあるイベント・トレースに対処するパッチもリリースされています。このパッチにはいくつかの注意事項があるため、脆弱性の深刻度が低くなっていますが、リスクを完全に取り除くものではありません。
最後に解説するRCEの脆弱性は、匿名のリサーチャがZDIプログラムを通じて報告したMicrosoft Defender for IoTに影響を与える脆弱性です。この脆弱性は、パスワードを変更するメカニズムに内在しており、ユーザが指定した文字列を使ってシステムコールを実行する前に適切な検証が行われていないことに起因します。さらにDefender for IoTには、ZDIの脆弱性リサーチャ「Simon Zuckerbraun氏」が発見した特権昇格の脆弱性に対処するパッチもリリースされています。この脆弱性もまたパスワードを変更するメカニズム内で発生しますが、この脆弱性の場合は、ユーザが指定した文字列を使ってシステムコールを実行する前に適切な検証が行われていないことが原因で引き起こされます。攻撃者にこの脆弱性が悪用されると、特権を昇格し、root権限を持ったコンテキスト内で任意のコードが実行される可能性があります。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSSスコア | 一般公開 | 悪用の事実 | 種類 |
CVE-2022-24512 | .NET と Visual Studio のリモート コードが実行される脆弱性 | 重要 | 6.3 | あり | なし | RCE |
CVE-2022-21990 | リモート デスクトップ クライアントのリモートでコードが実行される脆弱性 | 重要 | 8.8 | あり | なし | RCE |
CVE-2022-22006 | HEVC ビデオ拡張機能のリモートでコードが実行される脆弱性 | 緊急 | 7.8 | なし | なし | RCE |
CVE-2022-23277 | Microsoft Exchange Server のリモートでコードが実行される脆弱性 | 緊急 | 8.8 | なし | なし | RCE |
CVE-2022-24501 | VP9 Video 拡張機能のリモートでコードが実行される脆弱性 | 緊急 | 7.8 | なし | なし | RCE |
CVE-2022-24508 | Windows SMBv3 クライアント/サーバのリモートでコードが実行される脆弱性 | 重要 | 8.8 | なし | なし | RCE |
CVE-2022-24467 | Azure Site Recovery のリモートでコードが実行される脆弱性 | 重要 | 7.2 | なし | なし | RCE |
CVE-2022-24468 | Azure Site Recovery のリモートでコードが実行される脆弱性 | 重要 | 7.2 | なし | なし | RCE |
CVE-2022-24470 | Azure Site Recovery のリモートでコードが実行される脆弱性 | 重要 | 7.2 | なし | なし | RCE |
CVE-2022-24471 | Azure Site Recovery のリモートでコードが実行される脆弱性 | 重要 | 7.2 | なし | なし | RCE |
CVE-2022-24517 | Azure Site Recovery のリモートでコードが実行される脆弱性 | 重要 | 7.2 | なし | なし | RCE |
CVE-2022-24520 | Azure Site Recovery のリモートでコードが実行される脆弱性 | 重要 | 7.2 | なし | なし | RCE |
CVE-2022-24457 | HEIF 画像拡張機能のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2022-22007 | HEVC ビデオ拡張機能のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2022-23301 | HEVC ビデオ拡張機能のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2022-24452 | HEVC ビデオ拡張機能のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2022-24453 | HEVC ビデオ拡張機能のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2022-24456 | HEVC ビデオ拡張機能のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2022-23265 | Microsoft Defender for IoT のリモートでコードが実行される脆弱性 | 重要 | 7.2 | なし | なし | RCE |
CVE-2022-24461 | Microsoft Office Visio のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2022-24509 | Microsoft Office Visio のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2022-24510 | Microsoft Office Visio のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2022-23282 | ペイント 3D のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2022-23295 | Raw 画像拡張機能のリモードでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2022-23300 | Raw 画像拡張機能のリモードでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2022-23285 | リモート デスクトップ クライアントのリモートでコードが実行される脆弱性 | 重要 | 8.8 | なし | なし | RCE |
CVE-2022-24451 | VP9 Video 拡張機能のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2022-23294 | Windows イベント トレーシングのリモートでコードが実行される脆弱性 | 重要 | 8.8 | なし | なし | RCE |
特権昇格の脆弱性に目を向けると、そのほとんどは、攻撃者がシステムにログオンし、特別に細工されたプログラムを実行する必要があります。これらの更新プログラムのいくつかでは、この脆弱性は競合状態を発生させた結果であり、悪用に関する情報としては信頼性が低いとされています。今月は、FATファイルシステム、Fax とスキャンサービス、CD-ROMドライバなど、興味深いコンポーネントに内在する特権昇格の脆弱性に対処するパッチがリリースされています。これらの多くは懐古的なものです。もうひとつの興味深いコンポーネントは、Windows PDEVです。これは、ハードウェアの種類、論理アドレス、およびサポート可能なサーフェスによって特徴付けられている物理デバイスの論理表現です。ZDIの脆弱性リサーチャ「Lucas Leong氏」は、PDEVオブジェクトの処理における「Use-After-Free(メモリ解放後使用、UAF)」の脆弱性を報告しました。攻撃者にこの脆弱性が悪用されると、システムコンテキスト内で特権が昇格され、任意のコードが実行される可能があります。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSSスコア | 一般公開 | 悪用の事実 | 種類 |
CVE-2022-24459 | Windows Fax とスキャン サービスの特権の昇格の脆弱性 | 重要 | 7.8 | あり | なし | EoP |
CVE-2022-21967 | Xbox Live Auth Manager for Windows の特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-24469 | Azure Site Recovery の特権の昇格の脆弱性 | 重要 | 8.1 | なし | なし | EoP |
CVE-2022-24506 | Azure Site Recovery の特権の昇格の脆弱性 | 重要 | 6.5 | なし | なし | EoP |
CVE-2022-24515 | Azure Site Recovery の特権の昇格の脆弱性 | 重要 | 6.5 | なし | なし | EoP |
CVE-2022-24518 | Azure Site Recovery の特権の昇格の脆弱性 | 重要 | 6.5 | なし | なし | EoP |
CVE-2022-24519 | Azure Site Recovery の特権の昇格の脆弱性 | 重要 | 6.5 | なし | なし | EoP |
CVE-2022-23266 | Microsoft Defender for IoT の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-24460 | タブレット Windows ユーザ インターフェイス アプリケーションの特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-23283 | Windows ALPC の特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-23287 | Windows ALPC の特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-24505 | Windows ALPC の特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-24507 | WinSock 用 Windows Ancillary Function Driver の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-24455 | Windows CD-ROM ドライバーの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-23286 | Windows Cloud Files Mini Filter ドライバーの特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-23288 | Windows DWM Core ライブラリの特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-23291 | Windows DWM Core ライブラリの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-23293 | Windows Fast FAT ファイル システム ドライバーの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-23290 | Windows Inking COM の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-23296 | Windows インストーラーの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-23298 | Windows NT OS カーネルの特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-23299 | Windows PDEV の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-23284 | Windows 印刷スプーラーの特権の昇格の脆弱性 | 重要 | 7.2 | なし | なし | EoP |
CVE-2022-24454 | Windows Security Support Provider Interface の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-24525 | Windows Update スタックの特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
今月リリースされた更新プログラムのうち6件は、情報漏えいの脆弱性に対処します。これらの脆弱性は多くの場合、不特定のメモリコンテンツで構成される情報漏えいのみを引き起こします。唯一の例外は、Skype for Chrome拡張機能に影響を与える脆弱性です。この脆弱性により、標的ユーザのSkype IDが誤って開示される可能性があります。攻撃者にこの脆弱性が悪用されると、Skype内で開示された標的ユーザの名前とアバタが一致するIDへのアクセス権を取得される可能性があります。Skype for Chromeを利用している場合は、Chromeウェブストアからアップデートを入手する必要があります。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSSスコア | 一般公開 | 悪用の事実 | 種類 |
CVE-2022-21977 | メディア ファンデーションの情報漏えいの脆弱性 | 重要 | 3.3 | なし | なし | Info |
CVE-2022-22010 | メディア ファンデーションの情報漏えいの脆弱性 | 重要 | 4.4 | なし | なし | Info |
CVE-2022-24503 | リモート デスクトップ プロトコル クライアントの情報漏えいの脆弱性 | 重要 | 5.4 | なし | なし | Info |
CVE-2022-24522 | Chrome 用 Skype 拡張機能の情報漏えいの脆弱性 | 重要 | 7.5 | なし | なし | Info |
CVE-2022-23281 | Windows 共通ログ ファイル システム ドライバーの情報漏えいの脆弱性 | 重要 | 5.5 | なし | なし | Info |
CVE-2022-23297 | Windows NT Lan Manager Datagram Receiver ドライバーの情報漏えいの脆弱性 | 重要 | 5.5 | なし | なし | Info |
今月のリリースでは、サービス拒否(Denial-of-Service、DoS)の脆弱性に対処する4件のアップデートがありますが、その中でも特に目立つものが2つあります。一つはHyper-Vに内在するDoSの脆弱性で、この脆弱性が内在するHyper-V server上のゲストOSの1つである場合、常に不便を強いられることになります。もう一つは、「通信トンネル」を介してインターネット上にプライベートネットワークを拡張できるようにする仮想プライベートネットワーク(VPN)の実装に用いられるPPTP(Point-to-Point Tunneling)プロトコルの脆弱性です。この脆弱性に関する詳細は示されていませんが、VPNを停止させる可能性のある脆弱性は早急にパッチを適用する必要があります。これは特に多くのユーザがテレワークを実施するためにVPN接続に依存していることも挙げられます。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSSスコア | 一般公開 | 悪用の事実 | 種類 |
CVE-2022-24464 | .NET および Visual Studio のサービス拒否の脆弱性 | 重要 | 7.5 | なし | なし | DoS |
CVE-2022-23253 | Point-to-Point Tunneling プロトコルのサービス拒否の脆弱性 | 重要 | 6.5 | なし | なし | DoS |
CVE-2022-21975 | Windows Hyper-V のサービス拒否の脆弱性 | 重要 | 4.7 | なし | なし | DoS |
CVE-2022-21973 | Windows Media Center 更新プログラムのサービス拒否の脆弱性 | 重要 | 5.5 | なし | なし | DoS |
今月リリースされたパッチには、3つの異なるコンポーネントが持つセキュリティ機能のバイパス(SFB)の脆弱性に対処する修正が施されています。1つ目は、サポート終了が迫るInternet ExplorerやMicrosoft Edge(HTML版)を含むWindows HTMLプラットフォームの脆弱性を修正します。Microsoft社は、どのセキュリティ機能がバイパスされるかを示していませんが、MSHTMLが引き続き普及していくことを考慮すると、パッチを適用することが推奨されます。2つ目に解説するMicrosoft Wordには、保護されたビューで特定の保護機能をバイパス可能なSFBの脆弱性に対処するパッチがリリースされました。これにより、ユーザが悪意のあるWord文書ファイルを開いても意図した警告ダイアログが表示されない可能性があります。3つ目に解説するパッチは、iOS用 Microsoft Intune ポータルに内在する脆弱性に対処します。攻撃者はこの脆弱性を悪用することで、Intuneで管理されているポリシーファイルの保存場所をバイパスし、代わりに独自のポリシーを読み込ませる可能性があります。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSSスコア | 一般公開 | 悪用の事実 | 種類 |
CVE-2022-24465 | iOS 用 Microsoft Intune ポータルのセキュリティ機能のバイパスの脆弱性 | 重要 | 3.3 | なし | なし | SFB |
CVE-2022-24462 | Microsoft Word のセキュリティ機能のバイパスの脆弱性 | 重要 | 5.5 | なし | なし | SFB |
CVE-2022-24502 | Windows HTML プラットフォームのセキュリティ機能のバイパスの脆弱性 | 重要 | 4.3 | なし | なし | SFB |
今月のリリースには、なりすましの脆弱性に対処する3件のアップデートが含まれています。Exchange serverのなりすましの脆弱性が悪用されると、認証された攻撃者によって影響を受けるサーバ上のファイルコンテンツが閲覧される可能性があります。Microsoft社はDefender for Endpoint / Visual Studioのなりすましの脆弱性について、De