マイクロソフト、現在悪用されているゼロデイ脆弱性6件を修正

Microsoft のセキュリティ更新に関する月例レポート「Patch Tuesday」では、積極的に悪用されている脆弱性を含む 90 件の CVE が報告されました。

一部の脆弱性はChromiumに起因するため、Microsoft EdgeとGoogle Chromeの両方が影響を受けている可能性があります。Microsoftが8月13日に公開した最も重大な欠陥と修正プログラムを以下に示します。

6つのゼロデイ脆弱性が悪用された

脅威アクターは、特に以下の 6 つのゼロデイ脆弱性をすでに悪用していました。

• CVE-2024-38106: Windows カーネルにおける権限昇格の脆弱性。
• CVE-2024-38107: Windows Power Dependency Coordinator における権限昇格の脆弱性。
• CVE-2024-38178:ユーザーが Internet Explorer モードで Edge を使用してリンクをクリックした場合、リモート コード実行が可能になる可能性がありました。
• CVE-2024-38189:特定の条件下で悪意のある Microsoft Office Project ファイルを開くと、リモートでコードが実行される可能性があります。
• CVE-2024-38193:攻撃者に SYSTEM 権限を与える可能性がある権限昇格の脆弱性。
• CVE-2024-38213:ユーザーがインターネットから何かをダウンロードするときにポップアップ表示される SmartScreen 保護を攻撃者が回避できる。

参照: 組織は、プライバシーとデータ ストレージ ポリシーが Microsoft の Copilot AI とどのように関連しているかを評価する必要がある場合があります。

NISTは2つの脆弱性を「重大」と分類

今月のパッチチューズデーで注目すべきその他の項目は、NISTのNational Vulnerability DatabaseのCommon Vulnerability Scoring Systemで「緊急」と評価されたものです。具体的には以下のとおりです。

• CVE-2024-38140:プログラムが Pragmatic General Multicast ポートを使用してリッスンしている場合に発生する可能性があるリモート コード実行の脆弱性。
• CVE-2024-38063:悪意のある IPv6 パケットを繰り返し送信することで発生するリモート コード実行の脆弱性。

もう一つの脆弱性、CVE-2024-38202は、Microsoftがまだ修正プログラムをリリースしていないため、注目に値します。Windows Updateにおけるこの権限昇格の脆弱性を軽減するため、レドモンドはオブジェクト、操作、およびファイルへのユーザーアクセスを監査することを推奨しています。

この脆弱性から保護するための完全な手順は、脆弱性のリストの推奨アクションのセクションに記載されています。

Chromium に起因する一連の脆弱性

一部の脆弱性は両方のブラウザで使用されている Chromium オープンソース ソフトウェアに起因しているため、世界中のビジネス ユーザーは Edge と Google Chrome の最新バージョンを使用する必要があります。

関連する Chrome および Chromium の脆弱性は次のとおりです。

• MITRE CVE 7532: Chrome のグラフィック エンジン レイヤーである ANGLE で、境界外のメモリ アクセスが発生する可能性があります。
• MITRE CVE 7533: iOS の Chrome におけるメモリ使用後の脆弱性の悪用。
• MITRE CVE 7534: Layout におけるヒープ バッファ オーバーフロー。
• MITRE CVE 7535: V8 での不適切な実装。
• MITRE CVE 7536: WebAudio におけるメモリ使用後の脆弱性の悪用。
• MITRE CVE 7550: V8 における型の混乱。
• MITRE CVE 38218: Microsoft Edge における HTML ベースのメモリ破損の脆弱性。
• MITRE CVE 38219: Microsoft Edge におけるリモート コード実行の脆弱性。

攻撃者は、パッチが適用される前にこれらの脆弱性を利用して任意のコードを実行していた可能性があります。

リマインダー: ブラウザとオペレーティングシステムを最新の状態に保ってください

パッチ レポートで言及されているほとんどのエクスプロイトは 8 月のセキュリティ更新でカバーされているため、管理者が対応する必要がある唯一のアクションは、最新の状態を維持することです。

同様に、これらの Chromium の欠陥を軽減するには、Microsoft Edge または Google Chrome を最新バージョンに更新します。

Edgeでは、右側のミートボールメニュー（…）から実行中のバージョンを確認し、更新プログラムを探します。「ヘルプ」と「フィードバック」を選択し、「Microsoft Edge」を選択してください。

Chromeでは、メニューバーの「Google Chromeについて」を選択するか、ウィンドウの右上にあるケバブメニュー（縦に3つの点）を選択します。そこから「ヘルプ」を選択し、「Google Chromeについて」を選択します。

こちらもご覧ください

• 国家公共データ漏洩：ダークウェブで27億件の記録が漏洩
• 2024年に成功するための5つのパッチ管理ベストプラクティス
• ゼロデイエクスプロイトのチートシート：定義、例、仕組み
• サイバーセキュリティ：さらに読むべき記事