Microsoftはこのところ、更新プログラムの配信によってバグや脆弱性を修正するだけではなく、新しい問題も引き起こしている。そのため、新しい累積更新プログラムの配信が始まっても様子を見る管理者やユーザーが出るのも仕方がない。しかし、2021年5月の累積更新プログラムを適用していない場合は注意が必要だ。研究者が5月のアップデートで修正された脆弱性の概念実証(PoC: Proof of Concept)を公開したのだ。この脆弱性の悪用が始まれば、多くのユーザーが影響を受けるおそれがある。
PoCは次のページで公開されている。
PoCに使われた脆弱性の詳細は、次のページからたどることができる。
PoCに使われた脆弱性(CVE-2021-31166)は、深刻度がCVSSv3スコア9.8で緊急(Critical)に分類されている。認証されていないユーザーから送信される細工されたパケットでサーバをクラッシュさせることができる上、この脆弱性を悪用することでワームも開発可能とされている。
CVE-2021-31166は攻撃への悪用が容易である上、PoCが公開されたことで犯罪者が悪用する敷居も下がった。サイバー攻撃の被害者にならないためにも、2021年5月の累積更新プログラムを適用することが望まれる。