MS、2024年最初の月例セキュリティパッチを公開

脆弱性49件における共通脆弱性評価システム「CVSSv3」のベーススコアを見ると、29件が「7.0」以上と評価されている。このうち「9.0」以上とされる脆弱性は2件だった。

「.NET Framework」「Visual Studio」において、チェーン構築の失敗を意図的に誘発する細工した「X.509証明書」により、セキュリティ機能をバイパスできる「CVE-2024-0057」が「9.1」、「Kerberos」における認証のバイパス「CVE-2024-20674」が「9.0」となっている。

なお「CVE-2022-35737」については、「SQLite」に関する脆弱性でMITREがCVE番号を採番した。マイクロソフトでは同脆弱性のCVSS基本値の評価を行っておらず、米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では「7.5」と評価されている。

今回対応した脆弱性は以下のとおり。いずれも脆弱性の悪用や公開などは確認されていないという。

CVE-2022-35737
CVE-2024-0056
CVE-2024-0057
CVE-2024-20652
CVE-2024-20653
CVE-2024-20654
CVE-2024-20655
CVE-2024-20656
CVE-2024-20657
CVE-2024-20658
CVE-2024-20660
CVE-2024-20661
CVE-2024-20662
CVE-2024-20663
CVE-2024-20664
CVE-2024-20666
CVE-2024-20672
CVE-2024-20674
CVE-2024-20676
CVE-2024-20677
CVE-2024-20680
CVE-2024-20681
CVE-2024-20682
CVE-2024-20683
CVE-2024-20686
CVE-2024-20687
CVE-2024-20690
CVE-2024-20691
CVE-2024-20692
CVE-2024-20694
CVE-2024-20696
CVE-2024-20697
CVE-2024-20698
CVE-2024-20699
CVE-2024-20700
CVE-2024-21305
CVE-2024-21306
CVE-2024-21307
CVE-2024-21309
CVE-2024-21310
CVE-2024-21311
CVE-2024-21312
CVE-2024-21313
CVE-2024-21314
CVE-2024-21316
CVE-2024-21318
CVE-2024-21319
CVE-2024-21320
CVE-2024-21325

（Security NEXT - 2024/01/10 ） ツイート

PR

関連記事

「GitLab」のアカウント乗っ取る脆弱性、悪用が発生 - 米当局が注意喚起
小学校で個別書類あると気づかず身体測定結果を誤配布 - 名古屋市
個人情報含むファイルを県内自治体に誤送信 - 静岡県
廃棄物運搬事業者への事務連絡メールで誤送信 - 横須賀市
Dropboxの電子署名サービスに不正アクセス - 顧客情報が流出
開発言語「R」のデシリアライズ処理に脆弱性 - 修正版へ更新を
保守委託先で顧客情報含むHDDが所在不明 - はばたき信組
サポート詐欺被害で情報流出の可能性 - 高齢・障害・求職者雇用支援機構
「改訂新版セキュリティエンジニアの教科書」が発売 - 日本シーサート協議会
QNAP製NASやアドオンに脆弱性 - 旧アドバイザリも更新、影響大きい脆弱性を追加