パッチ チューズデー2 月のパッチ デーに、Microsoft は、CVE が割り当てられた 56 件の脆弱性をカバーするセキュリティ アドバイザリをリリースしました。そのうち 11 件は「重大」と評価されています。
そうすることで、Windowsの巨人であるMicrosoftは、2月のアップデートのランディングページにスペルミスのあるURLを掲載することに成功しました。このURLは、APIの変更に関するMicrosoft Security Response Centerの投稿に訪問者を誘導するはずでしたがmsrc-blog.microosft.com、実際には誤字脱字を誘発するドメインであることが判明しました。このドメインは、訪問者をfindanswersnow.net「無料の個人用メール」というクエリの検索結果ページにリダイレクトしていました。幸いなことに、それ以上の悪意はありませんでした。
Microsoft の URL の失敗 ... クリックして拡大
The Register紙はマイクロソフトに対し、この失態(問い合わせ後に修正済み)は、入力ミスによるものか、それともリンクを掲載後に変更できるウェブページの脆弱性によるものか問い合わせた。マイクロソフトの広報担当者は、誰かの入力ミスが不十分だったことを認めた。レドモンドのプログラミングミスをこれから取り上げることを考えれば、まさにうってつけの発言だ。
ビジネスへ
Microsoft のパッチ収集は控えめですが (1 月の 83 件の修正報奨金より減少)、Microsoft Windows、Azure IoT、Azure Kubernetes Service、Android 版 Microsoft Edge、Exchange Server、Office および Office サービスと Web アプリ、.NET Framework、Skype for Business および Lync、Windows Defender で見つかった脆弱性が含まれています。
重大な脆弱性のうち、CVE-2021-26701(.NET Core および Visual Studio のリモートコード実行の脆弱性)は既に公開されています。最も深刻な2つの脆弱性、CVE-2021-24093(Windows グラフィック コンポーネントのリモートコード実行の脆弱性)と CVE-2021-24088(Windows ローカルスプーラーのリモートコード実行の脆弱性)のCVSSスコアは8.8です。
Microsoftのリストには、重要度が43件、中程度の脆弱性が2件含まれています。重要と評価された脆弱性のうち、Windows Win32kの権限昇格の脆弱性(CVE-2021-1732)は、現在も悪用されています。その他、重要と評価された5件のバグ(CVE-2021-1721、CVE-2021-1733、CVE-2021-24098、CVE-2021-24106、CVE-2021-1727)が、公開されている脆弱性の残りを構成しています。
Zero Day Initiativeのダスティン・チャイルズ氏は、月例レポートの中で、Microsoft DNSサーバーを使用している場合は、ワーム化の恐れがあるため、CVE-2021-24078(Windows DNSサーバーのリモートコード実行脆弱性)への対策を優先するよう勧告しています。また、.NET CoreおよびVisual Studioユーザーにも、CVE-2021-26701について同様の対策を推奨しています。
皆が群がる
Adobeは火曜日、Magento(APSB21-08、CVE 18件)、Adobe AcrobatおよびReader(APSB21-09、CVE 23件)、Adobe Photoshop(APSB21-10、CVE 5件)、Adobe Animate(APSB21-11、CVE 1件)、Adobe Illustrator(APSB21-12、CVE 2件)、Adobe Dreamweaver(APSB21-13、CVE 1件)のセキュリティ情報を公開しました。合計50件のCVEです。
これらの多くは深刻度が高く、Magento が7件、Acrobat/Reader が17件、Photoshop が5件、Animate が1件、Illustrator が2件となっています。Adobe によると、Acrobat/Reader の CVE-2021-21017 は「Windows 上の Adobe Reader ユーザーを標的とした限定的な攻撃」において、実際に悪用されているとのことです。
SAPは13件のセキュリティ情報を公開しました。そのうち7件は新規で、6件は以前に公開された情報の更新です。新たに追加された情報の中で最も懸念されるのは、SAP Commerce バージョン1808、1811、1905、2005、2011におけるCVSS 9.9のリモートコード実行脆弱性に関するCVE-2021-21477です。
また、Google のセキュリティ研究者 Maddie Stone 氏が最近指摘した不完全なパッチの危険性を強調するように、アップデートの 1 つは CVE-2021-21468 (9.9 CVSS) に対応しており、これは 1 月に CVE-2021-21465 としてパッチが適用された SAP Business Warehouse の複数の脆弱性を修正する 2 度目の試みです。
昨年のゼロデイ攻撃の4分の1は、不適切なソフトウェアセキュリティパッチが原因だった
続きを読む
一方、インテルは 19 件のセキュリティ勧告を公開しており、そのうちいくつかは重大度が「高」と指定されているが、大半は「中」と評価されている。
Red Hat は、中程度の qemu-kvm-rhev セキュリティ更新と重要な OpenShift Container Platform 4.5.31 修正を説明する 2 つのセキュリティ速報を発表しました。
IBMは5日前に19件のセキュリティアドバイザリを公開し、その後数日間でさらに3件を追加しました。いずれも「緊急」ではなく、7件が「高」レベルに指定されています。
シスコは今月これまでにほとんどの日に CVE を公開しており、2021 年 2 月 3 日には 12 件が公開されました。この記事が提出された火曜日には何も公開されていませんでしたが、月曜日には 3 件公開され、そのうち 2 件は重大度が高く、1 件は中程度と評価されました。
Googleは今月初め、Androidに影響を与える脆弱性(CVE)を44件公開しました。そのうち半数はAndroidデバイスのQualcommコンポーネントに関連します。そのうち5件は「緊急」と指定されており、Androidソフトウェアに2件、公開されているQualcommコンポーネントに1件、クローズドソースのQualcommコンポーネントに2件です。
ベンジャミン・フランクリンが IT 業界で働いていたらこう言ったかもしれません。「この世で確実なものは、死と税金とソフトウェア パッチのインストールの必要性だけである。」®
