Microsoftが11月の月例パッチ公開、悪用確認済みを含む脆弱性を修正
日本マイクロソフト株式会社は13日、11月の月例セキュリティ更新プログラム(修正パッチ)を公開した。マイクロソフトではユーザーに対して、できるだけ早期に修正パッチを適用するよう呼びかけている。 対象となるソフトウェアは、Windows、Office、Exchange Server、Microsoft .NET、Visual Studio、Microsoft SQL Server、Microsoft Azure、Microsoft Defender for Endpoint。また、Microsoft Edgeは、月例の修正パッチとは別のタイミングでアップデートが行われている。 これらのうち、最大深刻度が4段階で最も高い“緊急”の脆弱性の修正が含まれるソフトウェアは、Windows(Windows 11、Windows Server 2025/2022/2019/2016)、Microsoft .NET、Visual Studio、Microsoft Azure。修正パッチに含まれる脆弱性の件数はCVE番号ベースで90件、うち最大深刻度が“緊急”のものが4件。 今月のセキュリティ更新プログラムで修正した脆弱性のうち、「Microsoft Exchange Serverのなりすましの脆弱性(CVE-2024-49040)」「Active Directory証明書サービスの特権の昇格の脆弱性(CVE-2024-49019)」「NTLMハッシュ開示スプーフィングの脆弱性(CVE-2024-43451)」「Windowsタスクスケジューラの特権の昇格の脆弱性(CVE-2024-49039)」の4件については、更新プログラムが公開されるよりも前に、悪用が行われていることや、脆弱性の詳細が一般に公開されていることが確認されている。 また、「Azure CycleCloudのリモートでコードが実行される脆弱性(CVE-2024-43602)」「.NETとVisual Studioのリモート コードが実行される脆弱性(CVE-2024-43498)」「Windows Kerberosのリモートでコードが実行される脆弱性(CVE-2024-43639)」の3件の脆弱性については、CVSS基本値が9.8と高いスコアであるため、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨するとしている。
クラウド Watch,三柳 英樹