米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は12月10日(米国時間)、「Microsoft Releases December 2024 Security Updates|CISA」において、MicrosoftがWindowsを含む複数の製品の脆弱性に対処する2024年12月のセキュリティ更新プログラムをリリースしたと伝えた。

修正された脆弱性は72件に上り、すでに攻撃への利用が確認されている脆弱性も1件含まれている。これら脆弱性を放置すると、遠隔から任意のコードを実行されたり、管理者権限を奪われるなど攻撃を受ける危険性がある。

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

  • Security Update Guide - Microsoft

    Security Update Guide - Microsoft

悪用が確認されている1件の脆弱性と、1件の重大な脆弱性

修正された脆弱性のうち、すでに悪用が確認されている脆弱性は次のとおり。

  • CVE-2024-49138 - Windows Common Log File Systemにヒープベースのバッファーオーバーフローの脆弱性。攻撃者はSYSTEM権限を取得できる可能性がある(CVSSスコア: 7.8)

悪用は確認されていないものの、深刻度が緊急(Critical)に分類されている脆弱性は次のとおり。

  • CVE-2024-49112 - Windows Lightweight Directory Access Protocol(LDAP)に整数オーバーフローまたは折り返しの脆弱性。攻撃者はリモートコード実行(RCE: Remote Code Execution)できる可能性がある(CVSSスコア: 9.8)

ただちにアップデートを

セキュリティアップデートの対象となる製品は多岐にわたる上、積極的に悪用されている脆弱性および緊急に分類される脆弱性の修正が含まれている。CISAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。

MicrosoftはすでにWindows Updateなどを通じて修正プログラムの配信を行っている。該当する製品を使用している場合は、内容を確認するとともに迅速にアップデートを適用することが望まれる。