米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は11月9日(米国時間)、「Microsoft Releases November 2021 Security Updates |CISA」において、複数のMicrosoft製品に脆弱性が存在すると伝えた。対象の脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。
脆弱性に関する情報は次のページにまとまっている。
- November 2021 Security Updates - Release Notes - Security Update Guide - Microsoft
- Deployments - Security Update Guide - Microsoft
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- 3D Viewer
- Azure
- Azure RTOS
- Azure Sphere
- Microsoft Dynamics
- Microsoft Edge (Chromium-based)
- Microsoft Edge (Chromium-based) in IE Mode
- Microsoft Exchange Server
- Microsoft Office
- Microsoft Office Access
- Microsoft Office Excel
- Microsoft Office SharePoint
- Microsoft Office Word
- Microsoft Windows
- Microsoft Windows Codecs Library
- Power BI
- Role: Windows Hyper-V
- Visual Studio
- Visual Studio Code
- Windows Active Directory
- Windows COM
- Windows Core Shell
- Windows Cred SSProvider Protocol
- Windows Defender
- Windows Desktop Bridge
- Windows Diagnostic Hub
- Windows Fastfat Driver
- Windows Feedback Hub
- Windows Hello
- Windows Installer
- Windows Kernel
- Windows NTFS
- Windows RDP
- Windows Scripting
- Windows Virtual Machine Bus
Microsoftからは脆弱性の修正プログラムが公表されている。IPAは「 CVE-2021-42292」「CVE-2021-42321」 の脆弱性について、Microsoft が「悪用の事実を確認済み」と公表しており、今後被害が拡大するおそれがあるため、至急、修正プログラムを適用するよう呼びかけている。