Follinaとは ゼロデイ脆弱性、Microsoftが月例更新で修正
Follinaとは、Microsoft サポート診断ツール(MSDT)に関する脆弱性「CVE-2022-30190」の通称です。Microsoftは、Microsoftの6月の月例セキュリティアップデートで、Follinaに対応する修正プログラムが利用できるようになりました。Microsoftは「悪用の事実を確認済み」と公表しており、早めに修正プログラムを適用して下さい。
Follinaとは
Microsoft(マイクロソフト)の公式サイトによると、Follinaとは、Windowsに塔載されている「Microsoft サポート診断ツール」(Microsoft Support Diagnostic Tool, MSDT)に見つかったゼロデイ脆弱性「CVE-2022-30190」の通称です。
特定のWebページを閲覧したり、攻撃者から送られてきたWordなどOffice文書を開いたりすると、攻撃者が任意のコードを実行できるようになります。
この脆弱性は、5月下旬に見つかった後、Microsoftが5月末に回避策を紹介していました。ただし、今回の修正プログラムの配布までに約3週間かかりました。
メール経由などで入手したWordファイルは「保護ビュー」と呼ばれる読み取り専用で開かれるため、ただちに攻撃されるわけではありません。
ただし、保護ビューを安易に解除してしまったり、パスワード付き圧縮ファイルから解凍されたファイルから開いたりした場合は攻撃を許してしまう場合があるので、十分に注意してください。
修正プログラムの適用方法
Microsoft 社から提供されている修正プログラムを適用して下さい。
Windows Update の利用手順 – Windows 10 の場合
Windows Update の利用手順 – Windows 8.1 の場合
次回のセキュリティ更新
次回のセキュリティ更新は、日本時間で2022年7月12日を予定しています。
