マイクロソフト、9月の月例パッチでゼロデイ4件含む脆弱性79件に対処(CVE-2024-38217、CVE-2024-43491他)
BleepingComputer – September 10, 2024
マイクロソフトが2024年9月の月例セキュリティ更新プログラムをリリースし、脆弱性79件に対処。これには、現在進行形で悪用されているゼロデイが4件含まれる。また、79件中7件は深刻度が「Critical(緊急)」に分類されており、リモートコード実行または特権昇格に繋がる恐れがある。
今回修正された4件のゼロデイは以下の通り。
- CVE-2024-38014:Windows インストーラーにおける特権昇格の脆弱性。Windowsシステム上でのSYSTEM権限取得を可能にし得るもので、CVSSスコア(v3.1)は7.8、深刻度は「Important(重要)」。悪用の詳細については明かされていない。
- CVE-2024-38217:Windows Mark of the Webにおけるセキュリティ機能バイパスの脆弱性。攻撃者は自身の制御するサーバー上でファイルをホストし、ターゲットとなるユーザーを欺いて当該ファイルをダウンロードさせ、開かせることによりこの脆弱性を悪用可能。この結果、攻撃者はMark of the Web機能に干渉できるようになる。CVSSスコア(v3.1)は5.4、深刻度は「Important(重要)」。
なおこの脆弱性は8月にElastic Securityによって「LNK stomping」という手法とともに公表されたもので、2018年から悪用されていると考えられている。詳しくは以下の記事で:
- CVE-2024-38226:Microsoft Publisherにおけるセキュリティ機能バイパスの脆弱性。悪用に成功すれば、信頼されていないファイルや悪意あるファイルをブロックするために使われるOfficeのマクロポリシーをバイパスすることが可能になるというもの。CVSSスコア(v3.1)は7.3、深刻度は「Important(重要)」。悪用の詳細については明かされていない。
- CVE-2024-43491:Microsoft Windows Updateにおけるリモートコード実行の脆弱性。Windows 10とバージョン 1507の複数のオプション コンポーネントに影響を与える脆弱性数件に対する修正プログラムをロールバックするサービススタックの脆弱性だと説明されている。CVSSスコア(v3.1)は9.8、深刻度は「Critical(緊急)」。悪用の詳細については明かされていない。