MS、2月の月例セキュリティ更新をリリース - ゼロデイ脆弱性2件に対応
重要度が2番目に高い「重要(Important)」とされる脆弱性は66件。さらに1段階低い「警告(Moderate)」とされる2件などにも対応した。
共通脆弱性評価システム「CVSSv3」におけるベーススコアを見ると58件が「7.0」以上とされており、このうち6件は「9.0」以上と評価されている。
なかでも「Microsoft Outlook」の「CVE-2024-21413」、「Microsoft Exchange Server」の「CVE-2024-21410」、「Microsoft Entra Jiraシングルサインオンプラグイン」において権限昇格が生じる「CVE-2024-21401」については「9.8」と高い。
「Azure Site Recovery」における権限昇格の脆弱性「CVE-2024-21364」が「9.3」、「Microsoft Azure Kubernetesサービス」の機密コンテナに関する脆弱性「CVE-2024-21376」「CVE-2024-21403」が「9.0」で続いている。
なお、DNSサーバで「DNS RRSIG」「DNSKEY」を検証する際にリソースを消費し、サービス拒否に陥るおそれがある「CVE-2023-50387」については、MITREにより採番された脆弱性のため、CVSS基本値は示されていない。
「Windows SmartScreen」に明らかとなった「CVE-2024-21351」、インターネットショートカットファイルの処理に判明した「CVE-2024-21412」の2件については、セキュリティ機能をバイパスされるおそれがあり、すでに悪用が確認されている。
今回のアップデートで修正された脆弱性は以下のとおり。
CVE-2023-50387
CVE-2024-20667
CVE-2024-20673
CVE-2024-20679
CVE-2024-20684
CVE-2024-20695
CVE-2024-21304
CVE-2024-21315
CVE-2024-21327
CVE-2024-21328
CVE-2024-21329
CVE-2024-21338
CVE-2024-21339
CVE-2024-21340
CVE-2024-21341
CVE-2024-21342
CVE-2024-21343
CVE-2024-21344
CVE-2024-21345
CVE-2024-21346
CVE-2024-21347
CVE-2024-21348
CVE-2024-21349
CVE-2024-21350
CVE-2024-21351
CVE-2024-21352
CVE-2024-21353
CVE-2024-21354
CVE-2024-21355
CVE-2024-21356
CVE-2024-21357
CVE-2024-21358
CVE-2024-21359
CVE-2024-21360
CVE-2024-21361
CVE-2024-21362
CVE-2024-21363
CVE-2024-21364
CVE-2024-21365
CVE-2024-21366
CVE-2024-21367
CVE-2024-21368
CVE-2024-21369
CVE-2024-21370
CVE-2024-21371
CVE-2024-21372
CVE-2024-21374
CVE-2024-21375
CVE-2024-21376
CVE-2024-21377
CVE-2024-21378
CVE-2024-21379
CVE-2024-21380
CVE-2024-21381
CVE-2024-21384
CVE-2024-21386
CVE-2024-21389
CVE-2024-21391
CVE-2024-21393
CVE-2024-21394
CVE-2024-21395
CVE-2024-21396
CVE-2024-21397
CVE-2024-21401
CVE-2024-21402
CVE-2024-21403
CVE-2024-21404
CVE-2024-21405
CVE-2024-21406
CVE-2024-21410
CVE-2024-21412
CVE-2024-21413
CVE-2024-21420
(Security NEXT - 2024/02/14 )
ツイート
関連リンク
PR
関連記事
Google、ブラウザ最新版「Chrome 136」を公開 - 8件のセキュリティ修正
米当局、悪用が確認された脆弱性4件について注意喚起
海外子会社がランサム被害、影響など詳細を調査 - 淀川製鋼所
システム障害、調査でランサムウェアが原因と判明 - 近鉄エクスプレス
パッチや緩和策の適用、メモリ保護を統合した脆弱性対策製品
従業員がサポート詐欺被害、個人情報流出か - 住友林業クレスト
個人情報含む契約書類を誤送信、アドレス帳で選択ミス - 新潟県
生徒情報含むデータを第三者メアドへ誤送信 - 鹿児島高
「ConnectWise ScreenConnect」に脆弱性 - 修正版が公開
中国電力にサイバー攻撃 - 設定不備のリモート接続機器より侵入