Microsoftは8月11日(米国時間)、WindowsやEdgeなどの同社製品を対象とした8月のセキュリティ更新プログラムを公開した。United States Computer Emergency Readiness Team (US-CERT)は、「Microsoft Addresses RCE and Spoofing Vulnerabilities Under Active Exploitation |CISA」において、このセキュリティ更新プログラムにはすでに悪用が確認されている2件の脆弱性に対する修正が含まれており、早急なアップデートを呼びかけている。

Microsoftによる2020年8月のセキュリティ更新プログラムに関する詳細は、次のページにまとめられている。

2020 年 8 月のセキュリティ更新プログラム (月例) - Microsoft Security Response Center

このプログラムで修正されている脆弱性のうち、次の2件に関しては、すでに攻撃への悪用が確認されたゼロデイ脆弱性になっているとのこと。

CVE-2020-1380 | Scripting Engine Memory Corruption Vulnerability

CVE-2020-1464 | Windows Spoofing Vulnerability

CVE-2020-1380は、Internet Exprolerのスクリプトエンジンにおいて、メモリ内のオブジェクトを処理する方法にリモートで任意のコードが実行されるおそれがある脆弱性。この脆弱性によってメモリが破損され、現在のユーザーと同じコンテキストで任意のコードを実行できてしまう可能性がある。もし現在のユーザーが管理者権限でログオンしている場合は、攻撃者によってシステムの制御権が乗っ取られる危険性もあるという。脆弱性の深刻度は「緊急(Critical)」に分類されている。

CVE-2020-1464は、Windowsがファイルの署名を正しく検証せず、なりすましが行われるおそれがある脆弱性。攻撃者がこの脆弱性を悪用した場合、セキュリティ機能による検証を回避して、不正に署名されたファイルを読み込ませることが可能になる。脆弱性の深刻度は「重要(Important)」に分類されている。

CVE-2020-1380 | Scripting Engine Memory Corruption Vulnerability

CVE-2020-1464 | Windows Spoofing Vulnerability

2020年8月のセキュリティ更新プログラムには、そのほかにも深刻度「緊急」を含む多数の脆弱性の修正が含まれている。Cybersecurity and Infrastructure Security Agency (CISA)は、ユーザーおよび管理者に対し、Microsoftによるアップデート情報をチェックした上で、必要なアップデートを適用することを推奨している。