Microsoft の 63 月の月例パッチで XNUMX 件の脆弱性が解決され、そのうちの XNUMX 件は積極的に悪用されたゼロデイです

今週の火曜日にリリースされたセキュリティ パッチ バンドルでは、 Microsoft、63 の脆弱性と露出に対する修正が提供されました。 脆弱性のうち 57 つは「重大」、XNUMX は「重要」、XNUMX つは「中」と評価されています。 

具体的には、セキュリティ機能バイパスの脆弱性 18 件、情報開示の脆弱性 30 件、サービス拒否の脆弱性 79 件、権限昇格の脆弱性 XNUMX 件、リモート コード実行の脆弱性 XNUMX 件で構成されています。 今回のパッチ チューズデーより前に Microsoft Edge でパッチが適用された脆弱性が追加されると、CVE の総数は XNUMX に増加します。

これらの脆弱性のうち XNUMX つは公開されたゼロデイ脆弱性であり、そのうちの XNUMX つは (「CVE-2022-37969 – Windows 共通ログ ファイル システム ドライバーの特権昇格の脆弱性」) は「悪用された」と表現されています。

「この脆弱性の悪用に成功した攻撃者は、SYSTEM 権限を取得する可能性があります」と Microsoft はアドバイザリで述べています。 それにもかかわらず、技術の巨人は脆弱性の重大度を「低」と考えています。 それにもかかわらず、他のセキュリティ専門家は Microsoft の声明に満足せず、懸念を表明しました。

「脆弱性 [CVE-2022-37969] は重要と評価されていますが、複数のベンダーが協調的な開示を認めており、悪用が実際に確認されているため、この脆弱性はリスクのために重大な重大度として扱われるべきです」と Chris Goettl 副社長Ivanti のセキュリティ製品の製品管理部門の責任者は、次のように述べています。 レドモンド・マガジン.

リモート監視および管理ソフトウェア Action1 Corporation の共同創設者でありサイバーセキュリティ エグゼクティブである Mike Walters 氏も、CVE-2022-37969 の「複雑さの低さ」が問題になる可能性があると述べています。

「[CVE-2022-37969 に関する] 他の技術的な詳細は入手できませんが、脆弱性は複雑さが低く、ユーザーの操作を必要としないため、エクスプロイトはホワイト ハットとブラック ハットの両方の武器になる可能性があります」と Walters 氏は Redmond に語った。マグ。

一方、Microsoft Dynamics 365 は、リモート コード実行を可能にする 2022 つの重大な脆弱性のうち 34700 つ (CVE-2022-35805 および CVE-2022-34721) の影響を受けます。 そのうちの 2022 つ (CVE-34722-2022 と CVE-34718-XNUMX) は Windows Internet Key Exchange Protocol Extensions にリンクされていますが、最後の XNUMX つ (CVE-XNUMX-XNUMX) は Windows と TCP/IP に関係しています。

2022 つの重大な脆弱性の最後のものである CVE-34718-XNUMX は、セキュリティ研究者によって「最も深刻な脆弱性」と説明されています。 Cisco Talos CVSS の評価は 9.8 点満点中 10 であるため、Microsoft はこれを「悪用される可能性が高い」とも述べています。 それにもかかわらず、 ダスティン・チャイルズ ベンダーにとらわれないバグ報奨金プログラムのトレンドマイクロの Zero Day Initiative は、IPv6 が有効で IPSec が構成されているシステムのみが影響を受けると述べています。 「一部の人にとっては朗報ですが、(多くの人がそうであるように) IPv6 を使用している場合は、おそらく IPSec も実行しているでしょう。 この更新プログラムをすぐにテストして展開してください」と Childs 氏は付け加えました。

一方、CVE-2022-34721 と CVE-2022-34722 の 9.8 つの重大な脆弱性はすべての Windows Server 製品に影響を与え、CVSS スコアは XNUMX ですが、Walters 氏は「どちらも悪用の複雑さは低い」と述べています。