「Exchange Server」のゼロデイ脆弱性、10月定例パッチに修正含まれず
「Microsoft Exchange Server」にゼロデイ攻撃の対象となった脆弱性2件が明らかとなり、修正プログラムのリリースが待たれているが、米時間10月11日にマイクロソフトが公開した月例セキュリティ更新に同脆弱性の修正は含まれていなかった。
問題の脆弱性「CVE-2022-41040」「CVE-2022-41082」は、サイバー攻撃に悪用されたことを契機に判明した脆弱性。報告者が詳細を明らかにしたことで悪用されるリスクも上昇している。
同社では脆弱性を回避する緩和策をアナウンス。「Exchange Server緊急緩和サービス(EEMS)」の活用や、同社が用意したスクリプト「Exchange On-premises Mitigation Tool v2」の実行など、最新の緩和策を講じるよう利用者に呼びかけている。
同社ではアップデートの準備を進めており、アップデートの公開、緩和策の更新など引き続き状況を注視していく必要がある。
(Security NEXT - 2022/10/12 )
ツイート
関連リンク
PR
関連記事
GeoVision製EOL機器に対する脆弱性攻撃が発生 - 米当局が注意喚起
RadwareのクラウドWAFに脆弱性 - フィルタ回避のおそれ
Cisco IOS XE無線LANコントローラに脆弱性 - root権限奪取のおそれ
SonicWall「SMA100」シリーズに脆弱性 - 初期化やファイル書き込みのおそれ
API管理ツール「WSO2 API Manager」の旧版にXXE脆弱性
「Chrome」にセキュリティアップデート - 修正2件を実施
米政府、GW期間中に悪用確認脆弱性10件を追加
PHPのDB接続ライブラリ「ADOdb」のPostgreSQLドライバに深刻な脆弱性
「Microsoft Edge」にアップデート - 脆弱性5件を解消
米当局、悪用が確認された既知脆弱性2件について注意喚起