Last Updated on 2024-06-12 20:28 by 荒木 啓介
Microsoftは2024年6月のPatch Tuesdayアップデートの一環として、51の脆弱性に対するセキュリティ更新をリリースしました。これらの脆弱性のうち1つは重大(クリティカル)と評価され、残りの50つは重要(インポータント)と評価されています。これに加えて、過去1ヶ月間にChromiumベースのEdgeブラウザで解決された17の脆弱性があります。これらのセキュリティ上の欠陥は、リリース時点で公に知られているものの1つを除き、野外で積極的に悪用されているものはありません。公に知られている脆弱性は、CVE-2023-50868(CVSSスコア:7.5)であり、DNSSEC検証プロセスに影響を与えるサービス拒否問題で、DNSSEC検証リゾルバーのCPU消耗を引き起こす可能性があります。この問題は、ドイツ・ダルムシュタットの国立応用サイバーセキュリティ研究センター(ATHENE)の研究者によって2月に報告されました。
今月のアップデートで修正された最も深刻な脆弱性は、Microsoft Message Queuing(MSMQ)サービスのクリティカルなリモートコード実行(RCE)の脆弱性(CVE-2024-30080、CVSSスコア:9.8)です。この脆弱性を悪用するには、攻撃者が特別に細工された悪意のあるMSMQパケットをMSMQサーバーに送信する必要があります。これにより、サーバー側でリモートコードが実行される可能性があります。また、Microsoft Outlook(CVE-2024-30103)、Windows Wi-Fiドライバー(CVE-2024-30078)、Windows Win32カーネルサブシステム(CVE-2024-30086)、Windows Cloud Files Mini Filterドライバー(CVE-2024-30085)、Win32k(CVE-2024-30082)など、いくつかの他のRCEバグや多数の権限昇格の脆弱性も解決されました。
Microsoft以外にも、Adobe、Amazon Web Services、AMD、Apple、Arm、ASUS、Atlassian、AutomationDirect、Bosch、Broadcom(VMwareを含む)、Cisco、Citrix、Cox、D-Link、Dell、Drupal、F5、Fortinet、Fortra、Tripwire Enterprise、GitLab、Google Android、Google Chrome、Google Cloud、Google Wear OS、Hitachi Energy、HP、HP Enterprise、HP Enterprise Aruba Networks、IBM、Ivanti、Jenkins、Juniper Networks、Lenovo、Linuxディストリビューション(Debian、Oracle Linux、Red Hat、SUSE、Ubuntu)、MediaTek、Mitsubishi Electric、Mozilla FirefoxとFirefox ESR、NETGEAR、NVIDIA、PHP、Progress Software、QNAP、Qualcomm、Samsung、SAP、Schneider Electric、Siemens、SolarWinds、Sophos、Synology、TP-Link、Trend Micro、Veeam、Veritas、Zoho ManageEngine ServiceDesk Plus、Zoom、Zyxelなど、他のベンダーからも過去数週間にわたっていくつかの脆弱性を修正するセキュリティ更新がリリースされました。
【ニュース解説】
Microsoftは2024年6月の定例アップデート「Patch Tuesday」において、51のセキュリティ脆弱性に対するパッチをリリースしました。これらの脆弱性の中で最も注目されるのは、Microsoft Message Queuing(MSMQ)サービスに関するクリティカルなリモートコード実行(RCE)の脆弱性です。この脆弱性を悪用すると、攻撃者は特別に細工されたMSMQパケットを送信することで、サーバー上で任意のコードを実行することが可能になります。
このアップデートでは、他にもMicrosoft Outlook、Windows Wi-Fiドライバー、Windows Win32カーネルサブシステムなど、多岐にわたる製品に影響を与える脆弱性が修正されています。これらの脆弱性の多くは、リモートコード実行や権限昇格といった深刻なセキュリティ上のリスクを引き起こす可能性があります。
また、Microsoftだけでなく、Adobe、Amazon Web Services、AMD、Appleなど、多数のベンダーがセキュリティ更新をリリースしています。これは、サイバーセキュリティの脅威が多様化し、複雑化している現代において、幅広い製品やサービスにわたってセキュリティ対策を強化する必要があることを示しています。
このようなセキュリティアップデートのリリースは、組織や個人が直面するセキュリティ上のリスクを軽減するために不可欠です。特に、クリティカルな脆弱性に対する迅速な対応は、サイバー攻撃による被害を防ぐ上で重要な役割を果たします。しかし、これらのアップデートを適用する過程で、互換性の問題や新たなバグが発生する可能性もあります。そのため、アップデートのテストと段階的な適用が推奨されます。
長期的な視点では、セキュリティ脆弱性への対応は、技術の進化とともにより複雑になることが予想されます。これにより、セキュリティ専門家や開発者は、新たな脅威に迅速に対応するための知識とスキルを常に更新し続ける必要があります。また、組織は、セキュリティ対策の一環として、従業員への定期的な教育や意識向上プログラムを実施することが重要です。
このニュースは、サイバーセキュリティの重要性が高まっている現代社会において、技術の進化に伴うリスクを理解し、適切な対策を講じることの重要性を改めて浮き彫りにしています。
from Microsoft Issues Patches for 51 Flaws, Including Critical MSMQ Vulnerability.
