MS 9月の月例セキュリティ更新
Microsoftは9月の月例セキュリティ更新プログラムを公開しました。
参照:Security NEXT
61件の脆弱性に対応し、「Microsoft Word」に明らかとなった「CVE-2023-36761」など2件の脆弱性についてはすでに悪用が確認されています。
今回のアップデートでは、
・Windows
・Windows Defender
・Microsoft Office
・Microsoft Exchange Server
・Visual Studio
・.NET Framework
・Azure DevOps
・Microsoft Streamサービス
・3D Builder
などに明らかとなった脆弱性を解消しています。
■脆弱性の重要度
最大重要度を見ると、4段階中もっとも高い「緊急(Critical)」とされる脆弱性は5件で、「Visual Studio」に明らかとなった「CVE-2023-36792」「CVE-2023-36793」「CVE-2023-36796」、「Microsoft Azure Kubernetes」に関する「CVE-2023-29332」、「インターネット接続の共有(ICS)」の「CVE-2023-38148」などへ対応しました。
2番目に重要度が高い「重要(Important」とされる脆弱性が55件、さらに1段階低い「注意(Moderate)」とされる脆弱性が1件となっています。
「Visual Studio」に影響する「CVE-2023-39956」や「3D Viewer」の「CVE-2022-41303」については、サードパーティ製ソフトウェアに起因し、いずれも重要度は「重要(Important)」としています。
共通脆弱性評価システム「CVSSv3」におかるベースコアを見ると、48件が「7.0」以上と評価されていますが、「9.0」以上と評価された脆弱性は今回ありませんでした。
■確認された2件の脆弱性悪用
「CVE-2023-36802」「CVE-2023-36761」の2件については悪用が確認されています。
「CVE-2023-36802」は「Microsoft Streamサービス」に明らかとなったもので、悪用されると権限昇格が生じるおそれがあります。
一方「CVE-2023-36761」は「Microsoft Word」において「NTLMハッシュ」が漏えいする脆弱性で、すでに公開済みどということです。プレビューウィンドウにおいても脆弱性が悪用される恐れがあります。
CVSS基本値は「CVE-2023-36802」が「7.8」、「CVE-2023-36761」が「6.1」としています。
■脆弱性での影響
脆弱性によって影響は異なりますが、
・リモートよりコードを実行される恐れ 24件
・権限昇格の脆弱性 17件
・情報漏洩の脆弱性 9件
・なりすまし 5件
・セキュリティ機能のバイパス 3件
・サービス拒否 3件
などに対応しています。
なお、Microsoftのセキュリティ更新プログラムガイドは下記よりご確認ください。
毎月のセキュリティ更新情報ですが、すでに悪用されている脆弱性もあるので自身が使用している製品を確認し、該当製品かどうかきちんとチェックするようにしましょう!
★-------------------------------------------★
【アルテミスBP パートナー様募集!】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。
私たちだからできる「ワンストップサービス」も魅力の1つです!
★-------------------------------------------★