米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は11月12日(米国時間)、「Microsoft Releases November 2024 Security Updates|CISA」において、MicrosoftがWindowsを含む複数の製品の脆弱性に対処する2024年11月のセキュリティ更新プログラムをリリースしたと伝えた。
修正された脆弱性は89件に上り、すでに攻撃への悪用が確認されている脆弱性も2件含まれている。これら脆弱性を放置すると、遠隔から任意のコードを実行されたり、管理者権限を奪われるなどの攻撃を受ける危険性がある。
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
- 2024 年 11 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft
- Security Update Guide - Microsoft
-
Security Update Guide - Microsoft
悪用が確認されている2件の脆弱性と3件の重大な脆弱性
修正された脆弱性のうち、既に悪用が確認されている脆弱性は次のとおり。
- CVE-2024-43451 - NTLMハッシュ開示スプーフィングの脆弱性(CVSSスコア:6.5)
- CVE-2024-49039 - Windowsタスクスケジューラの特権昇格の脆弱性(CVSSスコア:8.8)
悪用は確認されていないものの、深刻度が緊急(Critical)に分類されているセキュリティ脆弱性は次のとおり。
- CVE-2024-43498 - .NETおよびVisual Studioにリモートコード実行(RCE: Remote Code Execution)の脆弱性(CVSSスコア:9.8)
- CVE-2024-43602 - Azure CycleCloudにリモートコード実行の脆弱性(CVSSスコア:9.9)
- CVE-2024-43639 - Windows Kerberosにリモートコード実行の脆弱性(CVSSスコア:9.8)
ただちにアップデートを
セキュリティアップデートの対象となる製品は多岐にわたる上、脆弱性のいくつかは深刻度が緊急(Critical)に分類されており注意が必要。CISAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。
MicrosoftはすでにWindows Updateなどを通じて修正プログラムの配信を行っている。該当する製品を使用している場合は、内容を確認するとともに迅速にアップデートを適用することが望まれる。
Windows 11の7月の更新プログラム、注目の新機能
