MSが月例パッチ公開 - 複数ゼロデイ脆弱性を修正、一部で悪用も

共通脆弱性評価システム「CVSSv3.0」のベーススコアを見ると、「9.0」以上と評価された脆弱性は「9.9」とされる「Windows TCP/IP」の脆弱性「CVE-2021-26424」と、「9.8」とされる「Windows Services for NFS ONCRPC XDRドライバ」の脆弱性「CVE-2021-26432」の2件。

いずれもリモートよりコードを実行されるおそれがあり、悪用される可能性が高いことから注意が必要。これら脆弱性を含め、36件が「7.0」以上と評価されている。

悪用が確認されている脆弱性は1件。「Windows Update Medic Service」において権限の昇格が生じるおそれがある脆弱性「CVE-2021-36948」で、CVSS基本値は「7.8」で、重要度は「重要（Important）」。一般には公開されていないという。

「CVE-2021-36936」と「CVE-2021-36942」については、悪用は確認されていないが、いずれも脆弱性が公開済みとなっている。

「CVE-2021-36936」は、「Windows印刷スプーラー」においてリモートでコードが実行されるおそれがある脆弱性。CVSS基本値は「8.8」で「クリティカル（Critical）」とレーティングしている。

「CVE-2021-36942」は「Windows LSA」においてなりすましが可能となる脆弱性で、CVSS基本値を「7.5」とし、「重要（Important）」とした。

（Security NEXT - 2021/08/11 ） ツイート

PR

関連記事

Adobeのマーケティング管理製品にRCE脆弱性 - 緊急対応を
SAP、月例アドバイザリを公開 - 「クリティカル」が4件
「Apache HTTPD」に複数脆弱性 - 「クリティカル」との評価も
MS、月例パッチを公開 - 200件以上の脆弱性に対応
「Adobe ColdFusion」に緊急性高い脆弱性 - 早急に対応を
「Veeam Backup & Replication」のバックアップサーバにRCE脆弱性
「FortiSandbox」のウェブUIに深刻なRCE脆弱性- アップデートを
「Chrome」にセキュ更新、脆弱性74件を修正 - 一部で悪用も
米当局、Check Point製UTMやLiteLLMの脆弱性悪用に注意喚起
「VCF Operations」に複数のXSS脆弱性 - 修正版が公開