マイクロソフトは11月10日(日本時間)、月例のセキュリティ更新プログラムを公開しました。独立行政法人情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)も注意を呼びかけています。
今回対応された脆弱性のうち、「Microsoft Excelのセキュリティ機能のバイパスの脆弱性」(CVE-2021-42292)、「Microsoft Exchange Serverのリモートでコードが実行される脆弱性」(CVE-2021-42321)については、すでに悪用の事実が確認されており、今後被害が拡大するおそれがあります。
対象となるソフトウェアは、
・Azure
・Microsoft Dynamics
・Microsoft Edge (Chromium-based)
・Microsoft Office
・Power BI
・Role: Windows Hyper-V
・Visual Studio
・Windows Active Directory
・Windows Hello
・Windows Installer
・Windows Kernel
・Windows Virtual Machine Bus
など34製品が該当しており、Windows 11、Windows 10、Windows Server 2022/2019/2016、Windows 8.1などの製品ファミリ内に深刻度「緊急」の脆弱性が発見されています。
こうした脆弱性が悪用された場合、アプリケーションプログラムが異常終了したり、リモートからの攻撃によって任意のコードを実行されたりする可能性があります。各製品のユーザは、Microsoft UpdateやWindows Updateなどを用いて、システムの更新を至急行ってください。自動更新を設定している場合も、念のため更新が適用されているか確認するのが望ましいでしょう。
Copyright © 2023 Trend Micro Incorporated. All rights reserved.
