MS、2024年最初の月例セキュリティパッチを公開
脆弱性49件における共通脆弱性評価システム「CVSSv3」のベーススコアを見ると、29件が「7.0」以上と評価されている。このうち「9.0」以上とされる脆弱性は2件だった。
「.NET Framework」「Visual Studio」において、チェーン構築の失敗を意図的に誘発する細工した「X.509証明書」により、セキュリティ機能をバイパスできる「CVE-2024-0057」が「9.1」、「Kerberos」における認証のバイパス「CVE-2024-20674」が「9.0」となっている。
なお「CVE-2022-35737」については、「SQLite」に関する脆弱性でMITREがCVE番号を採番した。マイクロソフトでは同脆弱性のCVSS基本値の評価を行っておらず、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では「7.5」と評価されている。
今回対応した脆弱性は以下のとおり。いずれも脆弱性の悪用や公開などは確認されていないという。
CVE-2022-35737
CVE-2024-0056
CVE-2024-0057
CVE-2024-20652
CVE-2024-20653
CVE-2024-20654
CVE-2024-20655
CVE-2024-20656
CVE-2024-20657
CVE-2024-20658
CVE-2024-20660
CVE-2024-20661
CVE-2024-20662
CVE-2024-20663
CVE-2024-20664
CVE-2024-20666
CVE-2024-20672
CVE-2024-20674
CVE-2024-20676
CVE-2024-20677
CVE-2024-20680
CVE-2024-20681
CVE-2024-20682
CVE-2024-20683
CVE-2024-20686
CVE-2024-20687
CVE-2024-20690
CVE-2024-20691
CVE-2024-20692
CVE-2024-20694
CVE-2024-20696
CVE-2024-20697
CVE-2024-20698
CVE-2024-20699
CVE-2024-20700
CVE-2024-21305
CVE-2024-21306
CVE-2024-21307
CVE-2024-21309
CVE-2024-21310
CVE-2024-21311
CVE-2024-21312
CVE-2024-21313
CVE-2024-21314
CVE-2024-21316
CVE-2024-21318
CVE-2024-21319
CVE-2024-21320
CVE-2024-21325
(Security NEXT - 2024/01/10 )
ツイート
関連リンク
PR
関連記事
「Ivanti EPM」に複数の深刻な脆弱性 - アップデートを公開
「FortiSwitch」に深刻な脆弱性 - 修正版以降に更新を
Adobe、アドバイザリ5件を公開 - 深刻な脆弱性を解消
Google、複数の脆弱性を解消した「Chrome 132」を公開
米当局、悪用されている脆弱性5件について注意喚起
「FortiOS」に複数脆弱性 - 一部で悪用報告も
2025年最初のMS月例パッチ - ゼロデイ脆弱性など158件を修正
農林業センサス調査候補者名簿が所在不明に - 農水省
個人情報含む補助金申請書を誤廃棄 - 佐野市
社内システムがランサム被害、一部業務に支障 - 旭タンカー