マイクロソフトが今週火曜日にリリースしたセキュリティ パッチ バンドルでは、63 の脆弱性と露出に対する修正が提供されました。脆弱性のうち 5 つは「緊急」、57 は「重要」、1 つは「中」と評価されています。
具体的には、セキュリティ機能バイパスの脆弱性が 1 つ、情報漏えいの脆弱性が 7 つ、サービス拒否の脆弱性が 7 つ、権限昇格の脆弱性が 18、リモートでコードが実行される脆弱性が 30 あります。このパッチ チューズデーの前に Microsoft Edge でパッチが適用された脆弱性が追加されると、CVE の総数は 79 に増加します。
これらの脆弱性のうち 2 つは公開されたゼロデイ脆弱性であり、そのうちの 1 つは (「 CVE-2022-37969 – Windows 共通ログ ファイル システム ドライバーの昇格
「この脆弱性の悪用に成功した攻撃者は、SYSTEM 権限を取得する可能性があります」と Microsoft はアドバイザリで述べています。それにもかかわらず、技術の巨人は脆弱性の重大度を「低」と考えています。それにもかかわらず、他のセキュリティ専門家は Microsoft の声明に満足せず、懸念を表明しています。 Ivanti のセキュリティ製品の製品管理担当副社長である Chris Goettl 氏は レドモンド マガジン.
サイバーセキュリティ エグゼクティブであり、リモート監視および管理ソフトウェア Action1 Corporation の共同創設者である Mike Walters 氏も次のように述べています。 CVE-2022-37969 の「複雑さが低い」ことが問題になる可能性があることを確認してください。
「[CVE-2022-37969 に関する] 他の技術的な詳細は入手できませんが、脆弱性は複雑さが低く、ユーザーとのやり取りに関係なく、エクスプロイトはすぐにホワイト ハットとブラック ハットの両方の武器庫になるでしょう」と Walte 氏は述べています。 rs は Redmond Mag に語った。
一方、Microsoft Dynamics 365 は、リモート コード実行を可能にする 5 つの重大な脆弱性のうち 2 つ (CVE-2022-34700 および CVE-2022-35805) の影響を受けている。そのうちの 2 つ (CVE-2022-34721 と CVE-2022-34722) は Windows Internet Key Exchange Protocol Extensions にリンクされていますが、最後の 1 つ (CVE-2022-34718) は Windows と TCP/IP に関係しています。
5 つの重大な脆弱性のうち最後の CVE-2022-34718 は、Cisco Talos は、10 段階中 9.8 の CVSS 評価を持っているためです。Microsoft は、「悪用される可能性が高い」とも説明しています。それにもかかわらず、Dustin Childs は、ベンダーにとらわれないバグ報奨金を受け取りましたプログラム Trend Micro の Zero Day Initiative は、IPv6 が有効で IPSec が構成されているシステムのみが影響を受けると述べています。 「一部の人にとっては朗報ですが、IPv6 を使用している場合 (多くの人がそうであるように)、おそらく IPSec も実行しているでしょう。間違いなく、この更新プログラムを迅速にテストして展開してください」と Childs 氏は付け加えました。 CVSS スコアについて、ウォルターズ氏は「どちらも悪用の複雑さが低い」と述べています。
