Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS、7月の月例パッチで脆弱性84件を修正 - 一部脆弱性はすでに悪用も

マイクロソフトは、2022年7月の月例セキュリティ更新プログラムを公開し、CVEベースで81件の脆弱性を修正した。一部脆弱性はすでに悪用が確認されている。

今回のアップデートでは、カーネルをはじめ、「BitLocker」「Hyper-V」「Active Directory」など「Windows」に関する脆弱性をはじめ、「Microsoft Office」「Microsoft Defender for Endpoint」「Skype for Business」「Microsoft Lync」「Azure Site Recovery」「Azure Storage Library」などの脆弱性に対処した。

脆弱性の最大重要度を見ると、4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性が4件。次に重要度が高い「重要(Important)」とされる脆弱性が77件となっている。

共通脆弱性評価システム「CVSSv3」におけるベーススコアを見ると、38件については「7.0」以上と評価されている。ただし、「9.0」以上とされる脆弱性は含まれていない。

脆弱性によって悪用された場合に生じる影響は異なるが、12件についてはリモートよりコードを実行されるおそれがある。52件については権限昇格のおそれがあり、情報漏洩の脆弱性8件、サービス拒否の脆弱性5件、セキュリティ機能のバイパス4件、メモリ破損2件などの脆弱性を解消した。

権限の昇格が生じ、SYSTEM権限を奪われるおそれがある「Windows CSRSS」の脆弱性「CVE-2022-22047」については、すでに悪用が確認されているという。重要度は「重要(Important)」、CVSS基本値は「7.8」と評価されている。

このほか、AMDに関する「CVE-2022-23816」「CVE-2022-23825」や、「curl」に関する「CVE-2022-27776」などサードパーティ製ソフトウェアの脆弱性3件についてもあわせて対応した。今回のアップデートで修正された脆弱性は以下のとおり。

CVE-2022-21845
CVE-2022-22022
CVE-2022-22023
CVE-2022-22024
CVE-2022-22025
CVE-2022-22026
CVE-2022-22027
CVE-2022-22028
CVE-2022-22029
CVE-2022-22031
CVE-2022-22034
CVE-2022-22036
CVE-2022-22037
CVE-2022-22038
CVE-2022-22039
CVE-2022-22040
CVE-2022-22041
CVE-2022-22042
CVE-2022-22043
CVE-2022-22043
CVE-2022-22045
CVE-2022-22047
CVE-2022-22048
CVE-2022-22049
CVE-2022-22050
CVE-2022-22711
CVE-2022-30181
CVE-2022-30187
CVE-2022-30202
CVE-2022-30203
CVE-2022-30205
CVE-2022-30206
CVE-2022-30208
CVE-2022-30209
CVE-2022-30211
CVE-2022-30212
CVE-2022-30213
CVE-2022-30214
CVE-2022-30215
CVE-2022-30216
CVE-2022-30220
CVE-2022-30221
CVE-2022-30222
CVE-2022-30223
CVE-2022-30224
CVE-2022-30225
CVE-2022-30225
CVE-2022-30226
CVE-2022-33632
CVE-2022-33633
CVE-2022-33637
CVE-2022-33641
CVE-2022-33642
CVE-2022-33643
CVE-2022-33644
CVE-2022-33650
CVE-2022-33651
CVE-2022-33652
CVE-2022-33653
CVE-2022-33654
CVE-2022-33655
CVE-2022-33656
CVE-2022-33657
CVE-2022-33658
CVE-2022-33659
CVE-2022-33660
CVE-2022-33661
CVE-2022-33662
CVE-2022-33663
CVE-2022-33664
CVE-2022-33665
CVE-2022-33666
CVE-2022-33667
CVE-2022-33668
CVE-2022-33669
CVE-2022-33671
CVE-2022-33672
CVE-2022-33673
CVE-2022-33674
CVE-2022-33675
CVE-2022-33676
CVE-2022-33677
CVE-2022-33678

(Security NEXT - 2022/07/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

ランサム攻撃で従業員情報が暗号化、復旧は断念 - 河村電器
教員が帰宅途中に盗難被害、学生情報を盗まれる - 昭和女子大
印字プログラム不具合で書類に別会員の口座情報 - 歯科コンサル会社
メール誤送信で災害ボランティアのメアド流出 - 大阪市
サポート終了も1割強が業務でIE利用 - 35%はEdgeのIEモード
カスペルスキーのVPN製品に権限昇格の脆弱性
「Apache CloudStack」のSAML認証プラグインに深刻な脆弱性
J-CSIPへの情報提供が約2.6倍に - 過去の受信メールにも注意を
AIによる顔画像取扱時の留意点を解説 - 日本ディープラーニング協会
WDB HDがランサム被害 - メールやファイルサーバで障害