MS、2月の月例セキュリティ更新をリリース - ゼロデイ脆弱性2件に対応

重要度が2番目に高い「重要（Important）」とされる脆弱性は66件。さらに1段階低い「警告（Moderate）」とされる2件などにも対応した。

共通脆弱性評価システム「CVSSv3」におけるベーススコアを見ると58件が「7.0」以上とされており、このうち6件は「9.0」以上と評価されている。

なかでも「Microsoft Outlook」の「CVE-2024-21413」、「Microsoft Exchange Server」の「CVE-2024-21410」、「Microsoft Entra Jiraシングルサインオンプラグイン」において権限昇格が生じる「CVE-2024-21401」については「9.8」と高い。

「Azure Site Recovery」における権限昇格の脆弱性「CVE-2024-21364」が「9.3」、「Microsoft Azure Kubernetesサービス」の機密コンテナに関する脆弱性「CVE-2024-21376」「CVE-2024-21403」が「9.0」で続いている。

なお、DNSサーバで「DNS RRSIG」「DNSKEY」を検証する際にリソースを消費し、サービス拒否に陥るおそれがある「CVE-2023-50387」については、MITREにより採番された脆弱性のため、CVSS基本値は示されていない。

「Windows SmartScreen」に明らかとなった「CVE-2024-21351」、インターネットショートカットファイルの処理に判明した「CVE-2024-21412」の2件については、セキュリティ機能をバイパスされるおそれがあり、すでに悪用が確認されている。

今回のアップデートで修正された脆弱性は以下のとおり。

CVE-2023-50387
CVE-2024-20667
CVE-2024-20673
CVE-2024-20679
CVE-2024-20684
CVE-2024-20695
CVE-2024-21304
CVE-2024-21315
CVE-2024-21327
CVE-2024-21328
CVE-2024-21329
CVE-2024-21338
CVE-2024-21339
CVE-2024-21340
CVE-2024-21341
CVE-2024-21342
CVE-2024-21343
CVE-2024-21344
CVE-2024-21345
CVE-2024-21346
CVE-2024-21347
CVE-2024-21348
CVE-2024-21349
CVE-2024-21350
CVE-2024-21351
CVE-2024-21352
CVE-2024-21353
CVE-2024-21354
CVE-2024-21355
CVE-2024-21356
CVE-2024-21357
CVE-2024-21358
CVE-2024-21359
CVE-2024-21360
CVE-2024-21361
CVE-2024-21362
CVE-2024-21363
CVE-2024-21364
CVE-2024-21365
CVE-2024-21366
CVE-2024-21367
CVE-2024-21368
CVE-2024-21369
CVE-2024-21370
CVE-2024-21371
CVE-2024-21372
CVE-2024-21374
CVE-2024-21375
CVE-2024-21376
CVE-2024-21377
CVE-2024-21378
CVE-2024-21379
CVE-2024-21380
CVE-2024-21381
CVE-2024-21384
CVE-2024-21386
CVE-2024-21389
CVE-2024-21391
CVE-2024-21393
CVE-2024-21394
CVE-2024-21395
CVE-2024-21396
CVE-2024-21397
CVE-2024-21401
CVE-2024-21402
CVE-2024-21403
CVE-2024-21404
CVE-2024-21405
CVE-2024-21406
CVE-2024-21410
CVE-2024-21412
CVE-2024-21413
CVE-2024-21420

（Security NEXT - 2024/02/14 ）ツイート

MS、2月の月例セキュリティ更新をリリース - ゼロデイ脆弱性2件に対応

関連リンク

PR

関連記事