Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS、7月の月例パッチで脆弱性84件を修正 - 一部脆弱性はすでに悪用も

マイクロソフトは、2022年7月の月例セキュリティ更新プログラムを公開し、CVEベースで81件の脆弱性を修正した。一部脆弱性はすでに悪用が確認されている。

今回のアップデートでは、カーネルをはじめ、「BitLocker」「Hyper-V」「Active Directory」など「Windows」に関する脆弱性をはじめ、「Microsoft Office」「Microsoft Defender for Endpoint」「Skype for Business」「Microsoft Lync」「Azure Site Recovery」「Azure Storage Library」などの脆弱性に対処した。

脆弱性の最大重要度を見ると、4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性が4件。次に重要度が高い「重要(Important)」とされる脆弱性が77件となっている。

共通脆弱性評価システム「CVSSv3」におけるベーススコアを見ると、38件については「7.0」以上と評価されている。ただし、「9.0」以上とされる脆弱性は含まれていない。

脆弱性によって悪用された場合に生じる影響は異なるが、12件についてはリモートよりコードを実行されるおそれがある。52件については権限昇格のおそれがあり、情報漏洩の脆弱性8件、サービス拒否の脆弱性5件、セキュリティ機能のバイパス4件、メモリ破損2件などの脆弱性を解消した。

権限の昇格が生じ、SYSTEM権限を奪われるおそれがある「Windows CSRSS」の脆弱性「CVE-2022-22047」については、すでに悪用が確認されているという。重要度は「重要(Important)」、CVSS基本値は「7.8」と評価されている。

このほか、AMDに関する「CVE-2022-23816」「CVE-2022-23825」や、「curl」に関する「CVE-2022-27776」などサードパーティ製ソフトウェアの脆弱性3件についてもあわせて対応した。今回のアップデートで修正された脆弱性は以下のとおり。

CVE-2022-21845
CVE-2022-22022
CVE-2022-22023
CVE-2022-22024
CVE-2022-22025
CVE-2022-22026
CVE-2022-22027
CVE-2022-22028
CVE-2022-22029
CVE-2022-22031
CVE-2022-22034
CVE-2022-22036
CVE-2022-22037
CVE-2022-22038
CVE-2022-22039
CVE-2022-22040
CVE-2022-22041
CVE-2022-22042
CVE-2022-22043
CVE-2022-22043
CVE-2022-22045
CVE-2022-22047
CVE-2022-22048
CVE-2022-22049
CVE-2022-22050
CVE-2022-22711
CVE-2022-30181
CVE-2022-30187
CVE-2022-30202
CVE-2022-30203
CVE-2022-30205
CVE-2022-30206
CVE-2022-30208
CVE-2022-30209
CVE-2022-30211
CVE-2022-30212
CVE-2022-30213
CVE-2022-30214
CVE-2022-30215
CVE-2022-30216
CVE-2022-30220
CVE-2022-30221
CVE-2022-30222
CVE-2022-30223
CVE-2022-30224
CVE-2022-30225
CVE-2022-30225
CVE-2022-30226
CVE-2022-33632
CVE-2022-33633
CVE-2022-33637
CVE-2022-33641
CVE-2022-33642
CVE-2022-33643
CVE-2022-33644
CVE-2022-33650
CVE-2022-33651
CVE-2022-33652
CVE-2022-33653
CVE-2022-33654
CVE-2022-33655
CVE-2022-33656
CVE-2022-33657
CVE-2022-33658
CVE-2022-33659
CVE-2022-33660
CVE-2022-33661
CVE-2022-33662
CVE-2022-33663
CVE-2022-33664
CVE-2022-33665
CVE-2022-33666
CVE-2022-33667
CVE-2022-33668
CVE-2022-33669
CVE-2022-33671
CVE-2022-33672
CVE-2022-33673
CVE-2022-33674
CVE-2022-33675
CVE-2022-33676
CVE-2022-33677
CVE-2022-33678

(Security NEXT - 2022/07/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

あらたな脅威へ対応する設定ファイルが原因に - CrowdStrike障害
Windows端末の障害問題に便乗するサイバー攻撃が発生中
CrowdStrike、Windows環境での不具合で声明 - 復旧方法も紹介
一部Window端末が正常に起動できず - CrowdStrikeが不具合認める
システムの仕様を知らずメール誤送信が発生 - 東京都福祉保健財団
市教委で特別支援教育就学奨励費対象児童の一部名簿を紛失 - 湖西市
Cisco、セキュリティアドバイザリ9件を公開 - 「Blast-RADIUS」の影響も
書類が車両走行中に散乱、一部未回収 - 明治国際医療大
職員がサポート詐欺被害、被害端末内に個人情報 - 吉田町
メールシステムで設定ミス、当初ベンダーも原因特定できず - 上智大