マイクロソフト2月の更新プログラム公開、緊急の脆弱性を修正

2024年2月14日 11時7分

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2月13日(米国時間)、「Microsoft Releases Security Updates for Multiple Products｜CISA」において、Windowsなど複数のMicrosoft製品に複数の脆弱性が存在するとして、注意を喚起した。これら脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

2024 年 2 月のセキュリティ更新プログラム - リリースノート - セキュリティ更新プログラムガイド - Microsoft

Security Update Guide - Microsoft

Security Update Guide - Microsoft

○脆弱性が存在するとされるプロダクト

脆弱性が存在するとされるプロダクトは次のとおり。

.NET

Android 用 Microsoft Teams

Azure Active Directory

Azure Connected Machine エージェント

Azure DevOps

Azure File Sync

Azure Site Recovery

Azure Stack

Microsoft ActiveX

Microsoft Azure Kubernetes Service

Microsoft Defender for Endpoint

Microsoft Dynamics

Microsoft Edge (Chromium ベース)

Microsoft Exchange Server

Microsoft Office

Microsoft Office OneNote

Microsoft Office Outlook

Microsoft Office Word

Microsoft WDAC ODBC ドライバー

Microsoft Windows

Microsoft Windows DNS

Skype for Business

SQL Server

SQL 用 Microsoft WDAC OLE DB プロバイダー

Windows Hyper-V

Windows LDAP

Windows OLE

Windows SmartScreen

Windows USB シリアルドライバー

Windows Win32K - ICOMP

Windows インターネット接続の共有 (ICS)

Windows カーネル

Windows メッセージキュー

インターネットショートカットファイル

トラステッドコンピューティングベース

ロール: DNS サーバー

セキュリティアップデートの対象となる製品は多岐にわたる上、一部の脆弱性は深刻度が緊急（Critical）に分類されており注意が必要。

○速やかにアップデートを

CISAは、ユーザーおよび管理者に対し、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。

なおCISAは、上記累積更新プログラムが修正している次の2つの脆弱性に関して「Known Exploited Vulnerabilities Catalog」への追加を行っている。これはこの2つの脆弱性の悪用が確認されていることを意味しており、迅速に対応することを必要性を示している(参考「CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA」)。

CVE-2024-21412 - Microsoft Windowsインターネットショートカットファイルにおけるセキュリティ機能バイパスの脆弱性

CVE-2024-21351 - Microsoft Windows SmartScreenにおけるセキュリティ機能バイパスの脆弱性

MicrosoftはWindows Updateなどを通じて修正プログラムの配信を開始している。該当する製品を使用している場合は、内容を確認するとともに迅速にアップデートを適用することが望まれる。

みんなの感想は？

マイクロソフト2月の更新プログラム公開、緊急の脆弱性を修正

外部サイト

ランキング

外部サイト

おすすめ記事

ランキング