Windowsの4月アップデート Microsoftが「緊急」で呼びかけ
マイクロソフト(Microsoft)は2022年4月13日(日本時間)、マイクロソフト製品に関する脆弱性の修正プログラム(月例)を公表しました。すでに悪用されているゼロデイ脆弱性への対応もあるため、「早急に、更新プログラムの適用を行ってください」と呼びかけています。
目次
ゼロデイ脆弱性とは
ゼロデイ脆弱性とは、修正プログラムがまだ提供されていない脆弱性のことです。こうした脆弱性をねらった攻撃が増えています。
「緊急」でセキュリティアップデートを呼びかける理由
今回の更新には、次のように悪意のある第三者に端末をリモートで操作されるおそれがある脆弱性が含まれています。マイクロソフトが最大深刻度を「緊急」として、セキュリティアップデートを呼びかけています。
- CVE-2022-24491……Microsoft ネットワーク ファイル システム
- CVE-2022-24497……Microsoft ネットワーク ファイル システム
- CVE-2022-26809……リモート プロシージャ コール(RPC)ランタイム。ネットワーク上のほかの端末でプログラムを処理させてその処理結果を返す仕組みの脆弱性
このほかにも以下のように対応前からすでに悪用されていたり、内容が公表されてしまっていたりする脆弱性があります。今後被害が拡大するおそれがあります。
悪用が確認された脆弱性「CVE-2022-24521」
「CVE-2022-24521」とは、共通ログファイルシステム(CLFS)のドライバにおける特権昇格に影響する脆弱性につけられた識別子です。この脆弱性は、すでに悪用されている事実が確認されています。
情報が公開されている脆弱性「CVE-2022-26904」
「CVE-2022-26904」とは、Windowsへのサインインなどで使われるWindows User Profile Service の特権昇格の脆弱性につけられた識別子です。この脆弱性は悪用の事実が確認されていないものの、すでに情報が公開済みのため注意が必要です。
脆弱性の解消方法
脆弱性の解消には、Windows Updateセキュリティアップデートをしてください。
Windows Update の利用手順 – Windows 10 の場合
Windows Update の利用手順 – Windows 8.1 の場合
次回のセキュリティ更新プログラム
次回のセキュリティプログラムの更新は、日本時間で2022年5月11日を予定しています。
