マイクロソフト、7月の更新プログラム公開 - 脆弱性の悪用を確認

JPCERTコーディネーションセンター（JPCERT/CC）は7月12日、マイクロソフトから同社製品の脆弱性を修正する2023年7月のセキュリティ更新プログラムが公開されたとして、アップデートを呼び掛けた。

• 2023年7月マイクロソフトセキュリティ更新プログラムに関する注意喚起

7月のアップデートでは、CVEベースで130件の脆弱性の修正が行われる。これらの脆弱性のうち、以下5件は、サイバー攻撃への悪用が確認されているという。

• CVE-2023-32046：Windows MSHTML プラットフォームの特権の昇格の脆弱性
• CVE-2023-32049：Windows SmartScreen のセキュリティ機能のバイパスの脆弱性
• CVE-2023-35311：Microsoft Outlook のセキュリティ機能のバイパスの脆弱性
• CVE-2023-36874：Windows エラー報告サービスの特権の昇格の脆弱性
• CVE-2023-36884８：Office and Windows HTML Remote Code Execution Vulnerability）

WindowsやOfficeが影響を受ける脆弱性（CVE-2023-36884）について、Microsoftは同脆弱性を悪用する攻撃に関するブログを公開している。6月に欧州や北米の防衛および政府機関を標的として実行された攻撃で、同脆弱性が悪用されていたという。情報公開の時点では脆弱性を修正する更新プログラムは提供されておらず、緩和策に関する情報が公開されている。

JPCERT/CCはMicrosoft Update、もしくはWindows Updateなどを用いて、セキュリティ更新プログラムを早急に適用するよう、呼びかけている。