致命的な脆弱性4件、ゼロデイ攻撃も ~Microsoft、2024年11月セキュリティ更新を公開
米Microsoftは11月12日(現地時間)、すべてのサポート中バージョンのWindowsに対し月例のセキュリティ更新プログラムをリリースした(パッチチューズデー)。現在、「Windows Update」や「Windows Update カタログ」などから入手可能。Windows以外の製品も含め、今月のパッチではCVE番号ベースで89件(サードパーティーのものも含めれば92件)の脆弱性が新たに対処されている。 このうち、深刻度が4段階中最高の「Critical」と評価されている脆弱性は以下の4件。 ・CVE-2024-43498:.NET と Visual Studio のリモート コードが実行される脆弱性 ・CVE-2024-49056:Airlift.microsoft.com の特権の昇格の脆弱性 ・CVE-2024-43625:Microsoft Windows VMSwitch の特権昇格の脆弱性 ・CVE-2024-43639:Windows Kerberos のリモートでコードが実行される脆弱性 なかでも「CVE-2024-43498」の深刻度評価は、「CVSS 3.1」の基本値で「9.8」と高い。Microsoftは認めていないが、Zero Day Initiative(ZDI)は攻撃手法が開示されているとしており、警戒が必要だ。 そのほかにも、以下の脆弱性で悪用の報告や攻撃手法の開示がある。深刻度はいずれも「Important」。 ・CVE-2024-43451:NTLM ハッシュ開示スプーフィングの脆弱性(悪用例、開示ともにあり) ・CVE-2024-49039:Windows タスク スケジューラの特権の昇格の脆弱性(悪用の報告あり) ・CVE-2024-5535:OpenSSL: CVE-2024-5535 SSL_select_next_proto buffer overread(サードパーティー、ZDIは開示ありと主張) ・CVE-2024-49019:Active Directory 証明書サービスの特権の昇格の脆弱性(攻撃手法の開示あり、悪用される可能性高し) ・CVE-2024-49040:Microsoft Exchange Server のなりすましの脆弱性(攻撃手法の開示あり、悪用される可能性高し) ■ Windows 10/11およびWindows Server 2016/2019/2022 最大深刻度は「緊急」(リモートでコードが実行される)。「Windows Server 2025」は今回が初めてのセキュリティパッチとなる。KB番号は「Windows 11 バージョン 24H2」と共通だが、サードパーティ製品で「Windows Server 2019」「Windows Server 2022」が意図せず「Windows Server 2025」へアップグレードされてしまう現象が発生したことをうけ、リリースノートは別となっている。 ・Windows 11 バージョン 24H2:KB5046617 ・Windows 11 バージョン 23H2:KB5046633 ・Windows 11 バージョン 22H2:KB5046633 ・Windows 10 バージョン 22H2:KB5046613 ・Windows Server 2025:KB5046617 ・Windows Server 2022:KB5046616 ・Windows Server 2019:KB5046615 ・Windows Server 2016:KB5046612 これらの更新プログラムには、先月末にリリースされたプレビュー更新プログラムの内容の一部に加え、セキュリティ修正が含まれる。「Windows 11 バージョン 24H2」における目玉は「タスク マネージャー」でタスク数がゼロになる問題への対処、「Windows Subsystem for Linux」(WSL)で開発ドライブ(Dev Drive)にアクセスできなくなる不具合の修正だ。 なお、「Windows 11 バージョン 21H2」Enterprise/Educationエディション、「Windows 11 バージョン 22H2」Pro/Homeエディションのサービスは先月で終了した。今月のセキュリティパッチ配信はない。 ■ Microsoft Office関連のソフトウェア 「Microsoft Office」関連のセキュリティ修正に関しては、以下のドキュメントを参照のこと。 ・ ・Microsoft Office の 2024 年 11 月の更新プログラム - Microsoft サポート ■ Microsoft Edge 「Microsoft Edge」は、「パッチチューズデー」とは関係なくアップデートされている。直近のセキュリティ修正は、米国時間11月7日にリリースされたv130.0.2849.80。近日中に「Edge 131」がリリースされる見込みだ。 ツールバーに「更新」という赤い文字が表示されたら、すぐにアップデートを実施しておきたい。 ■ Microsoft Visual Studio 「Microsoft Visual Studio」関連では、3件の脆弱性が修正された。 ・CVE-2024-43498(緊急:リモートでコードが実行される) ・CVE-2024-43499(重要:サービス拒否) ・CVE-2024-49044(重要:特権の昇格) 以下のバージョンがリリースされており、最新版へのアップデートが推奨されている。「Visual Studio 2017」以降であれば「Microsoft Update」経由で更新を適用することも可能だ。 ・Microsoft Visual Studio 2022 version 17.8 ・Microsoft Visual Studio 2022 version 17.10 ・Microsoft Visual Studio 2022 version 17.11 ■ Microsoft SharePoint Server 「Microsoft SQL Server 2022」では、2件の脆弱性が修正された。 ・CVE-2024-49021(重要:リモートでコードが実行される) ・CVE-2024-49043(重要:リモートでコードが実行される) 「SharePoint Server 2019」「SharePoint Server 2017」「SharePoint Server 2016」などでも、31件の脆弱性が修正されている。 ■ Microsoft Exchange Server 「Microsoft Exchange Server」関連の修正は、以下の1件。 ・CVE-2024-49040(重要:なりすまし) ■ Microsoft .NET Framework/.NET 「.NET Framework」と「.NET」に関するセキュリティアップデートについては、公式ブログを参照のこと。 ・.NET and .NET Framework November 2024 servicing releases updates - .NET Blog ■ そのほかの製品 そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。括弧内は最大深刻度。 ・Visual Studio Code Remote - SSH Extension:1件(警告) ・Python extension for Visual Studio Code:1件(重要) ・Microsoft TorchGeo:1件(重要) ・Microsoft PC Manager:1件(重要) ・Microsoft Defender for Endpoint for iOS:1件(重要) ・Microsoft Defender for Endpoint for Android:1件(重要) ・LightGBM:1件(重要) ・CBL Mariner 2.0 x64/Arm:109件(重要) ・CBL Mariner 1.0 x64/Arm:1件(不明) ・Azure Linux 3.0 x64/Arm:319件(重要) ・Azure Database for PostgreSQL Flexible Server 16/15/14/13/12:2件(重要) ・Azure CycleCloud 8.0.0~8.6.4::1件(重要) ・airlift.microsoft.com:1件(警告)
窓の杜,樽井 秀人