Windows Updateの10月更新 「緊急」含む脆弱性に対応
マイクロソフト(Microsoft)は2024年10月9日(日本時間)、マイクロソフト製品に関する脆弱性の修正プログラム(月例)を公表しました。CVE-2024-43572、CVE-2024-43573など、悪用を確認済みの脆弱性の対応もあるため、「できるだけ早期に、公開したセキュリティ更新プログラムを適用してください」と緊急の対応を呼びかけています。
悪用・詳細が公表済みの脆弱性一覧
マイクロソフトの公式サイトによると、10月のセキュリティ更新プログラムより前に悪用が行われていることや、脆弱性の詳細が一般へ公開されていることが確認されている脆弱性は以下の通りです。
CVE-2024-43583…Winlogonの特権の昇格の脆弱性
CVE-2024-43572…Microsoft管理コンソールのリモートでコードが実行される脆弱性
CVE-2024-20659…Windows Hyper-Vのセキュリティ機能のバイパスの脆弱性
CVE-2024-6197…オープン ソース Curlのリモートでコードが実行される脆弱性
CVE-2024-43573…Windows MSHTMLプラットフォームのなりすましの脆弱性
Microsoftの公式ブログによると、10月のセキュリティ更新プログラムで修正した脆弱性のうち、「CVE-2024-43468」(Microsoft Configuration Manager のリモートでコードが実行される脆弱性)は、CVSS基本値が9.8と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。
脆弱性の解消対策 セキュリティ更新プログラムの適用を
情報処理推進機構(IPA)の公式サイトによると、セキュリティ更新は通常自動で行われます。Windows Updateを通じて、セキュリティ更新プログラムや重要な更新が自動的にダウンロードされインストールされます。
