Microsoft製品に複数の脆弱性、悪用を確認済み - ただちにアップデートを
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は9月12日(米国時間)、「Microsoft Releases September 2023 Updates|CISA」において、Windowsなど複数のMicrosoft製品に複数の脆弱性が存在すると伝えた。
これら脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。脆弱性に関する情報は次のページにまとまっている。
2023 年 9 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft
Security Update Guide - Microsoft
Security Update Guide - Microsoft
脆弱性が存在するとされるプロダクトは次のとおり。
.NET Core と Visual Studio
.NET Framework
.NET と Visual Studio
3D Builder
3D ビューアー
Azure DevOps
Azure HDInsights
Microsoft Azure Kubernetes Service
Microsoft Dynamics
Microsoft Dynamics Finance & Operations
Microsoft Exchange Server
Microsoft Identity Linux ブローカー
Microsoft Office
Microsoft Office Excel
Microsoft Office Outlook
Microsoft Office SharePoint
Microsoft Office Word
Microsoft Stream サービス
Microsoft Windows Codecs Library
Visual Studio
Visual Studio Code
Windows Cloud Files Mini Filter Driver
Windows Defender
Windows DHCP サーバー
Windows GDI
Windows TCP/IP
Windows Themes
Windows インターネット接続の共有 (ICS)
Windows カーネル
Windows スクリプト
Windows 共通ログ ファイル システム ドライバー
修正対象となっている脆弱性のうち「CVE-2023-36802」および「CVE-2023-36761」は、Microsoftによって悪用の事実が確認されている。今後、これら脆弱性を利用した被害が拡大することが指摘されており、迅速にアップデートを適用することが望まれている(参考「Microsoft 製品の脆弱性対策について(2023年9月) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構」)。
セキュリティアップデートの対象となる製品が多岐にわたる上、一部の脆弱性は深刻度が緊急(Critical)に分類されており注意が必要。MicrosoftはすでにWindows Updateなどを通じて修正プログラムの配信を行っている。該当する製品を使用している場合は、内容を確認するとともに迅速にアップデートを適用することが望まれる。
2023 年 9 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft
Security Update Guide - Microsoft
Security Update Guide - Microsoft
脆弱性が存在するとされるプロダクトは次のとおり。
.NET Core と Visual Studio
.NET Framework
.NET と Visual Studio
3D Builder
3D ビューアー
Azure DevOps
Azure HDInsights
Microsoft Azure Kubernetes Service
Microsoft Dynamics
Microsoft Dynamics Finance & Operations
Microsoft Exchange Server
Microsoft Identity Linux ブローカー
Microsoft Office
Microsoft Office Excel
Microsoft Office Outlook
Microsoft Office SharePoint
Microsoft Office Word
Microsoft Stream サービス
Microsoft Windows Codecs Library
Visual Studio
Visual Studio Code
Windows Cloud Files Mini Filter Driver
Windows Defender
Windows DHCP サーバー
Windows GDI
Windows TCP/IP
Windows Themes
Windows インターネット接続の共有 (ICS)
Windows カーネル
Windows スクリプト
Windows 共通ログ ファイル システム ドライバー
修正対象となっている脆弱性のうち「CVE-2023-36802」および「CVE-2023-36761」は、Microsoftによって悪用の事実が確認されている。今後、これら脆弱性を利用した被害が拡大することが指摘されており、迅速にアップデートを適用することが望まれている(参考「Microsoft 製品の脆弱性対策について(2023年9月) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構」)。
セキュリティアップデートの対象となる製品が多岐にわたる上、一部の脆弱性は深刻度が緊急(Critical)に分類されており注意が必要。MicrosoftはすでにWindows Updateなどを通じて修正プログラムの配信を行っている。該当する製品を使用している場合は、内容を確認するとともに迅速にアップデートを適用することが望まれる。