米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は9月10日(米国時間)、「Microsoft Releases September 2024 Security Updates|CISA」において、MicrosoftがWindowsなど複数の製品の脆弱性に対処するためのセキュリティ更新プログラムをリリースしたことを伝えた。

修正された脆弱性は79件に上り、すでに攻撃への利用が確認されている脆弱性も4件含まれている。これら脆弱性を放置すると、遠隔から任意のコードを実行されたり、管理者権限を奪われたりするなどの攻撃を受ける危険性がある。

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

September 2024 Security Updates - Release Notes - Security Update Guide - Microsoft

Security Update Guide - Microsoft

Security Update Guide - Microsoft

○悪用が確認されている4件を含む5件の重大な脆弱性

修正された脆弱性のうち、すでに悪用が確認されている脆弱性は次のとおり。

CVE-2024-43491 - Microsoft Windows Updateにリモートコード実行(RCE: Remote Code Execution)の脆弱性(CVSSスコア: 9.8)

CVE-2024-38014 - Windowsインストーラーの権限昇格の脆弱性(CVSSスコア: 7.8)

CVE-2024-38226 - Microsoft Publisherのセキュリティ機能バイパスの脆弱性(CVSSスコア: 7.3)

CVE-2024-38217 - Windows Mark of the Web(MOTW)のセキュリティ機能バイパスの脆弱性(CVSSスコア: 5.4)

悪用が確認されていないものの、深刻度が緊急(Critical)に分類されている脆弱性は次のとおり。

CVE-2024-38220 - Azure Stack Hubの権限昇格の脆弱性(CVSSスコア: 9.0)

特に「CVE-2024-43491」については深刻度が緊急(Critical)に分類されており、悪用が確認されている深刻な脆弱性として評価されている。

○ただちにアップデートを

セキュリティアップデートの対象となる製品は多岐にわたる上、複数の脆弱性は深刻度が緊急(Critical)に分類されており注意が必要。MicrosoftはすでにWindows Updateなどを通じて修正プログラムの配信を行っている。該当する製品を使用している場合には内容を確認するとともに迅速にアップデートを適用することが望まれる。