Microsoft Patch Tuesday

今月もこの日が来ました。
Microsoft Patch Tuesdayです。
毎月第2火曜日(米国時間なので、日本では毎月第2水曜日)は、マイクロソフトがWindows Updateを配信する日になっています。
WindowsのOS部分の累積更新プログラムや、Microsoft Officeのセキュリティ更新プログラムがまとめてリリースされます。

今月は55個の脆弱性が修正されています。
これは例年の11月と比較すると多い数ではありませんが、今回は内容が濃いものとなっています。
分類でいうと、55個のうちの6個がSeverityがcriticalで、残りの49個がimportantとなっています。

特に濃いもののいくつかを確認してみましょう。

  • CVE-2021-42321
    Microsoft ExchangeServerのリモートコード実行の脆弱性。
    PowerShellのなかのコマンドであるcommand-letの引数の検証に関する問題です。
    攻撃の複雑さが低い、危険な脆弱性となっています。
    ただし、この脆弱性を悪用する前提条件に、認証済みであることというものがあるため、限定的な場面での脆弱性といえそうです。
    Microsoft Exchange
    Serverに関連するこの種の問題は、以前も紹介しましたようにProxyLogonやProxyShellもありましたし、注意が必要です。
  • CVE-2021-42292
    Microsoft Excelのセキュリティ機能バイパスの脆弱性。
    特別に細工されたファイルを開くときにコードの実行をそのまま許可してしまう可能性がある問題です。
    この問題は、WindowsコンピューターとmacOSコンピューターの両方が対象です。
    Windows向けOfficeに対するパッチは今回提供されていますが、macOS向けはまだリリースされていません。

これらの他にも危険なものがいくつかあります。

  • CVE-2021-42298
    Microsoft Defenderのリモートコード実行の脆弱性。
  • CVE-2021-38666
    リモートデスクトップクライアントのリモートコード実行の脆弱性。
  • CVE-2021-38631、CVE-2021-41371
    Microsoftリモートデスクトッププロトコル(RDP)の情報開示の脆弱性。

こんな危険なものをそのまま放置しておくことはできません。
この記事を書きながら、すでに手元のWindowsパソコンのWindows Updateは完了しました。
できることはできるうちになるべく素早く実施する、という感じで行ければいいと思います。

参考記事(外部リンク):Microsoft Nov. Patch Tuesday Fixes Six Zero-Days, 55 Bugs
threatpost.com/microsoft-nov-patch-tuesday-fixes-six-zero-days-55-bugs/176143/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。