米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は10月12日(米国時間)、「Microsoft Releases October 2021 Security Updates |CISA」において、Microsoftが2021年10月版のセキュリティアップデートをリリースした伝えた。
Microsoftは毎月第2火曜日に同社製品に対するセキュリティアップデートをまとめてリリースしている。今月のリリースでは、CVEベースで少なくとも73件の脆弱性が修正されており、そこにはすでに悪用が確認されている1件の脆弱性と、現時点では悪用は確認されていないが情報が一般に公開されている3件の脆弱性が含まれている。
2021年10月のセキュリティアップデートの詳細は次のリリースノートにまとめられている。
最新のセキュリティアップデートの対象になっている製品は多岐にわたり、Microsoft EdgeやMicrosoft Officeの各種製品、Windows Hyper-V、Visual Studio、Windows カーネルといった主要な製品やコンポーネントも多数含まれている。修正された脆弱性は、下記のセキュリティ更新プログラムガイドで調べることができる。
修正された脆弱性のうち、次の1件はすでに実際の攻撃への悪用が確認されているという。
また、次の3件はまだ悪用は確認されていないものの、修正前に脆弱性の情報が一般に公開されており注意が必要とのとだ。
- CVE-2021-41335: Windows カーネルにおける特権昇格の脆弱性
- CVE-2021-41338: Windows AppContainerにおいてファイアウォール規則のセキュリティ機能をバイパスできる脆弱性
- CVE-2021-40469: Windows DNS サーバーにおいてリモートでコードが実行される脆弱性
そのほか、次の脆弱性は深刻度が最も高い「Critical(緊急)」に分類されており、早急に更新プログラムを適用することが推奨されている。
- CVE-2021-38672: Windows Hyper-Vにおいてリモートでコードが実行される脆弱性
- CVE-2021-40461: Windows Hyper-Vにおいてリモートでコードが実行される脆弱性
- CVE-2021-40486: Microsoft Wordにおいてリモートでコードが実行される脆弱性
-
2021 年 10 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド
