パッチ チューズデーMicrosoft が、Exchange Server の 4 つのゼロデイ脆弱性と 3 つのその他の脆弱性が積極的に悪用されていると警告し、アウトオブバンド修復策を発行してから 1 週間後、クラウド Windows 業界は、毎月のパッチ チューズデーの慣例の一環として、他の 82 件の脆弱性に対処するソフトウェア修正プログラムを配信しました。
合計で、今月のCVEは89件となり、そのうち14件は「緊急」と判断されました。Microsoftによると、これらの脆弱性のうち2件(CVE-2021-26411およびCVE-2021-27077)は既に公開されており、5件(CVE-2021-26411、CVE-2021-26855、CVE-2021-26857、CVE-2021-27065、CVE-2021-26858)は現在も悪用されています。
41の製品またはサービスが今回の修正の対象となる予定で、そのほとんどはOffice、Windows、そしてAzureの一部に関連するものです。一つ一つ挙げていくと、目が回ってしまうほど多すぎます。
3月のパッチサイクルは、MicrosoftのEdge Legacyブラウザにとっても最後のものとなります。4月のパッチセットをインストールすると、Edge LegacyはWindows 10から削除され、レドモンドがプラットフォームを再構築したChromiumベースのEdgeに置き換えられます。
米国国家安全保障会議、ハフニウム攻撃を受けてExchange Serverの見直しを要請
続きを読む
先週のExchangeのバグはさておき、Internet Explorerのメモリ破損脆弱性であるCVE-2021-26411は早急な対応が必要です。深刻度は8.8で、既知の脆弱性であり、今年Chrome経由で情報セキュリティ担当者を標的にしたのと同じ人物によって、セキュリティ研究者に対して積極的に悪用されています。
「Exchangeのバグほど影響は大きくないものの、Microsoftブラウザに依存している企業は、この脆弱性を早急に導入すべきです」と、Zero Day Initiativeの広報ディレクター、ダスティン・チャイルズ氏はブログ記事で述べています。「脆弱性を悪用されると、ログインしたユーザーレベルでコードが実行される可能性があります。これは、管理者権限を持つアカウントを使用してWebページを閲覧しないよう、改めて注意を促すものです。」
チャイルズ氏はまた、深刻度9.8と評価されたWindows DNSサーバーのリモートコード実行(RCE)脆弱性CVE-2021-26897にも注意を払うよう推奨しています。同氏は、他に4件のDNSサーバーのRCE脆弱性が重要と指定されており、同様のDNSサーバーのRCE脆弱性が先月対処されたことを指摘しています。同氏によると、今月の脆弱性の半数は、何らかの形のリモートコード実行を伴うとのことです。
もう一つの重大なバグ、CVE-2021-26867はWindows Hyper-Vのリモートコード実行(RCE)脆弱性で、深刻度は9.9と満点の10点をわずかに下回りました。ただし、これはPlan 9ファイルシステムを使用するように構成されたHyper-Vクライアントにのみ影響し、Plan 9ファイルシステムは今日では必ずしも普及しているわけではありません。
Microsoftの統合開発環境(IDE)であるVisual StudioのGitにも、重大な脆弱性(CVE-2021-21300)が見つかりました。一方、レドモンドのクロスプラットフォーム対応コードエディタであるVisual Studio Codeには、リモートコード実行(RCE)を引き起こす可能性のある5つの脆弱性が「重要」と評価されています。いくつかはESLintやJava Extension Packなどの拡張機能に関連しています。これらのバグの少なくとも1つは、前述のセキュリティ研究者を標的とした悪意のある人物によって悪用されたと考えられています。
他の人も皆で乗り込む
しかし、SAPは本日公開されたCVSSで10点満点中10点を獲得したバグを1件だけでなく2件も修正しました。Enterprise Businessは、9.9と9.6の評価を受けた他の2件のバグとともに、このバグを「Hot News」と評価しました。このHot Newsノートの#2890213と#2622660は、それぞれSAP Solution Manager (User Experience Monitoring) v7.2とSAP Business Client v6.5に関するもので、どちらも2020年3月と2018年4月にリリースされたパッチを修正するものです。
しかし、Onapsisのセキュリティ研究者であるトーマス・フリッチ氏によると、これらの脆弱性はそれほど深刻ではないという。「HotNewsノート#2890213『SAP Solution Managerの認証チェックが欠落』には、この脆弱性の症状に関するわずかなテキスト更新が含まれているだけです」とフリッチ氏はブログ記事で述べている。
また、#2622660 は、SAP Business Client の Chromium バージョンを 88.0.4324.150 にアップデートするために適用される修正であり、2 件の重大なものを含む 67 件のブラウザーの欠陥に対処していると彼は述べた。
Adobe は、Connect (APSB21-19)、Creative Cloud デスクトップ アプリケーション (APSB21-18)、および Framemaker (APSB21-14) の重大な脆弱性に対処する 3 つのセキュリティ情報を公開しました。
Connect のセキュリティ情報は全プラットフォームを対象としています。任意の JavaScript 実行を可能にする可能性のある重大な脆弱性を修正しており、4 つの CVE(CVE-2021-21078、CVE-2021-21079、CVE-2021-21080、CVE-2021-21081)が含まれています。
Creative Cloud デスクトップアプリの通知では、Windows 版アプリにのみ影響する 3 件の重大な任意コード実行バグについて説明しています。通知では、3 つの CVE(CVE-2021-21068、CVE-2021-21078、CVE-2021-21069)が挙げられています。
Framemakerの脆弱性(これもWindowsのみ)は、任意のコード実行を可能にします。唯一のCVEであるCVE-2021-21056は、深刻度が「緊急」とされています。
この時点でAdobe Flashに関する何かが出てくると予想されていたかもしれません。しかし、残念ながら、それはすべて終わりました。Flashのサポートは2020年末に終了しました。
遅延、予算超過、そして故障。もちろん、マイクロソフトの最高傑作はNASAのオリオンに見られるだろう。
続きを読む
Appleは月例パッチの公開を急ぎ、月曜日にiOS 14.4.1とiPadOS 14.4.1、watchOS 7.3.2、macOS Big Sur 11.2.3、そしてmacOS CatalinaとmacOS Mojave向けにSafari 14.0.3(v. 14610.4.3.1.7と15610.4.3.1.7)をリリースしました。これらのアップデートはすべて、同社のWebKitブラウザエンジンに存在する単一のバグを修正しています。GoogleとMicrosoftの研究者が共同で報告したCVE-2021-1844は、任意のコード実行を許す可能性のあるメモリ破損の問題です。
IBMは月曜日に8件のパッチ情報を公開しました。これらの情報には、特定された6件の脆弱性(CVE)が含まれています。3件のアップデートは深刻度「高」、残りの5件は深刻度「中」です。最も深刻なのは、IBM Business Automation WorkflowのIBM Content Navigatorコンポーネントにおける複数のセキュリティ脆弱性(CVE-2020-4687、CVE-2020-4760、CVE-2020-4704)を詳述した情報情報のようです。
また、今月初めに、Google は Android の CVE を 38 件削除しました。そのうち 16 件は Android ランタイムに関連し (1 件は重大)、22 件はクローズド ソースの Qualcomm コンポーネントに関連しています (5 件は重大)。®
