ソフトウエアは、2024年1月の月例セキュリティ・アップデートで、ソフトウエア全体の48件の脆弱性を一挙に修正し、2カ月連続でパッチ・チューズデーにゼロデイ脆弱性がなかったことを明らかにした。
このアップデートは、以下をカバーする:
- Windowsでは48件の脆弱性が修正されており、そのうち2件が重要(9ポイント)、46件が重要(7.5ポイント)だが、現時点では悪用の証拠は公表されていない。
- ChromiumカーネルEdgeブラウザは、Googleが公開した悪用されるゼロデイ脆弱性(CVE-2023-7024、8.8ポイント)を含む9件の脆弱性を修正。
最も重大な脆弱性は以下の通りである:
- CVE-2024-20674 (9点)。 WindowsのKerberosセキュリティ機能バイパスの脆弱性を悪用し、IDを偽装して攻撃を仕掛けることができる。
- CVE-2024-20700 (7.5点)。 Windows Hyper-Vのリモートコード実行の脆弱性は、ユーザーによる操作や認証を必要としないが、競争条件に勝利する必要がある。
その他の目立った脆弱性は以下の通り:
- CVE-2024-20653 (7.8点)。 汎用ログファイルシステムドライバに影響する特権昇格の脆弱性。
- CVE-2024-0056 (8.7点)。 System.Data.SqlClientおよびMicrosoft.Data.SqlClientに、クライアントとサーバー間のTLSトラフィックを傍受するセキュアバイパスの脆弱性。
マイクロソフト社はまた、セキュリティ脆弱性(CVE-2024-20677、7.8ポイント)のため、FBXファイルをワード、エクセル、パワーポイント、アウトルックに挿入する機能をデフォルトで無効にし、代わりにGLBフォーマットを推奨している。
マイクロソフト以外にも、Adobe、AMD、Android、Arm、ASUS、Bosch、Cisco、Dell、F5、Fortinet、Google Chrome、Google Cloud、HP、IBM、Intel、Lenovo、Linuxディストリビューション、MediaTek、NETGEAR、Qualcomm、Samsung、SAP、Schneider Electric、Siemens、Splunk、Synology、Trend Micro、Zimbra、Zoom。
参照する:
https://msrc.microsoft.com/update-guide/releaseNote/2024-Jan
元記事はChief Security Officerによるものです。転載の際は、https://cncso.com/jp/マイクロソフト・ウィンドウズ・アップデートのクレジットをお願いします。
