Microsoft Patch Tuesday
今月もこの日が来ました。
Microsoft Patch Tuesdayです。
毎月第2火曜日(米国時間なので、日本では毎月第2水曜日)は、マイクロソフトがWindows Updateを配信する日になっています。
WindowsのOS部分の累積更新プログラムや、Microsoft Officeのセキュリティ更新プログラムがまとめてリリースされます。
今月は55個の脆弱性が修正されています。
これは例年の11月と比較すると多い数ではありませんが、今回は内容が濃いものとなっています。
分類でいうと、55個のうちの6個がSeverityがcriticalで、残りの49個がimportantとなっています。
特に濃いもののいくつかを確認してみましょう。
- CVE-2021-42321
Microsoft ExchangeServerのリモートコード実行の脆弱性。
PowerShellのなかのコマンドであるcommand-letの引数の検証に関する問題です。
攻撃の複雑さが低い、危険な脆弱性となっています。
ただし、この脆弱性を悪用する前提条件に、認証済みであることというものがあるため、限定的な場面での脆弱性といえそうです。
Microsoft Exchange
Serverに関連するこの種の問題は、以前も紹介しましたようにProxyLogonやProxyShellもありましたし、注意が必要です。 - CVE-2021-42292
Microsoft Excelのセキュリティ機能バイパスの脆弱性。
特別に細工されたファイルを開くときにコードの実行をそのまま許可してしまう可能性がある問題です。
この問題は、WindowsコンピューターとmacOSコンピューターの両方が対象です。
Windows向けOfficeに対するパッチは今回提供されていますが、macOS向けはまだリリースされていません。
これらの他にも危険なものがいくつかあります。
- CVE-2021-42298
Microsoft Defenderのリモートコード実行の脆弱性。 - CVE-2021-38666
リモートデスクトップクライアントのリモートコード実行の脆弱性。 - CVE-2021-38631、CVE-2021-41371
Microsoftリモートデスクトッププロトコル(RDP)の情報開示の脆弱性。
こんな危険なものをそのまま放置しておくことはできません。
この記事を書きながら、すでに手元のWindowsパソコンのWindows Updateは完了しました。
できることはできるうちになるべく素早く実施する、という感じで行ければいいと思います。
参考記事(外部リンク):Microsoft Nov. Patch Tuesday Fixes Six Zero-Days, 55 Bugs
threatpost.com/microsoft-nov-patch-tuesday-fixes-six-zero-days-55-bugs/176143/
