MS、2月の月例セキュリティ更新をリリース - ゼロデイ脆弱性2件に対応
重要度が2番目に高い「重要(Important)」とされる脆弱性は66件。さらに1段階低い「警告(Moderate)」とされる2件などにも対応した。
共通脆弱性評価システム「CVSSv3」におけるベーススコアを見ると58件が「7.0」以上とされており、このうち6件は「9.0」以上と評価されている。
なかでも「Microsoft Outlook」の「CVE-2024-21413」、「Microsoft Exchange Server」の「CVE-2024-21410」、「Microsoft Entra Jiraシングルサインオンプラグイン」において権限昇格が生じる「CVE-2024-21401」については「9.8」と高い。
「Azure Site Recovery」における権限昇格の脆弱性「CVE-2024-21364」が「9.3」、「Microsoft Azure Kubernetesサービス」の機密コンテナに関する脆弱性「CVE-2024-21376」「CVE-2024-21403」が「9.0」で続いている。
なお、DNSサーバで「DNS RRSIG」「DNSKEY」を検証する際にリソースを消費し、サービス拒否に陥るおそれがある「CVE-2023-50387」については、MITREにより採番された脆弱性のため、CVSS基本値は示されていない。
「Windows SmartScreen」に明らかとなった「CVE-2024-21351」、インターネットショートカットファイルの処理に判明した「CVE-2024-21412」の2件については、セキュリティ機能をバイパスされるおそれがあり、すでに悪用が確認されている。
今回のアップデートで修正された脆弱性は以下のとおり。
CVE-2023-50387
CVE-2024-20667
CVE-2024-20673
CVE-2024-20679
CVE-2024-20684
CVE-2024-20695
CVE-2024-21304
CVE-2024-21315
CVE-2024-21327
CVE-2024-21328
CVE-2024-21329
CVE-2024-21338
CVE-2024-21339
CVE-2024-21340
CVE-2024-21341
CVE-2024-21342
CVE-2024-21343
CVE-2024-21344
CVE-2024-21345
CVE-2024-21346
CVE-2024-21347
CVE-2024-21348
CVE-2024-21349
CVE-2024-21350
CVE-2024-21351
CVE-2024-21352
CVE-2024-21353
CVE-2024-21354
CVE-2024-21355
CVE-2024-21356
CVE-2024-21357
CVE-2024-21358
CVE-2024-21359
CVE-2024-21360
CVE-2024-21361
CVE-2024-21362
CVE-2024-21363
CVE-2024-21364
CVE-2024-21365
CVE-2024-21366
CVE-2024-21367
CVE-2024-21368
CVE-2024-21369
CVE-2024-21370
CVE-2024-21371
CVE-2024-21372
CVE-2024-21374
CVE-2024-21375
CVE-2024-21376
CVE-2024-21377
CVE-2024-21378
CVE-2024-21379
CVE-2024-21380
CVE-2024-21381
CVE-2024-21384
CVE-2024-21386
CVE-2024-21389
CVE-2024-21391
CVE-2024-21393
CVE-2024-21394
CVE-2024-21395
CVE-2024-21396
CVE-2024-21397
CVE-2024-21401
CVE-2024-21402
CVE-2024-21403
CVE-2024-21404
CVE-2024-21405
CVE-2024-21406
CVE-2024-21410
CVE-2024-21412
CVE-2024-21413
CVE-2024-21420
(Security NEXT - 2024/02/14 )
ツイート
関連リンク
PR
関連記事
ネットワーク設定変更で不備、個人情報流出の可能性 - ファストリ
「FortiOS」脆弱性や不正コード混入「Githubアクション」の悪用に注意喚起 - 米政府
SAP、3月の月例パッチを公開 - 新規アドバイザリ21件を公開
エンプラサーバなどに採用されるAMI製「BMC」にRCE脆弱性
Google製脆弱性スキャナの最新版「OSV-Scanner 2.0.0」が公開
サーバ製品「HPE Cray XD670」の管理ソフトに深刻な脆弱性
コラボアプリで承認ミス、小学校職員グループに児童が参加 - 石狩市
ボランティアが移動中に名簿を紛失 - 東京マラソン財団
市施設サイトに不正アクセス、メール配信CGIの脆弱性が標的に - 小諸市
ネットワーク機器にゼロデイ攻撃、詳細を調査 - 量子科学技術研究開発機構