マイクロソフト、2021年5月パッチ配信で55の脆弱性と3つのゼロデイの脆弱性が修正

マイクロソフトの2021年5月パッチ配信日（パッチチューズデー）では、55の脆弱性、3つのゼロデイが修正されました。

2021年5月12日マイクロソフトの2021年5月のパッチチューズデーですが、これには3つのゼロデイ脆弱性が含まれており、Windows管理者は更新プログラムの適用を至急行ったほうがよいものになっっております。

本アップデートでは、マイクロソフトは55件の脆弱性を修正、4件が「重要」、50件が「重要」、1件が「中程度」に分類されています。

今回修正された3つのゼロデイ脆弱性は、一般に公開されているものの攻撃に使用されている事実は把握されていません。

セキュリティ以外のWindowsアップデートについては、今回のWindows 10 KB5003169 & KB5003173累積アップデートをご覧ください。

3つのゼロデイ脆弱性を修正

今回のパッチチューズデーの一環として、マイクロソフトは公開されている3つの脆弱性を修正しました。

以下の4つの脆弱性は、マイクロソフトが公開されているが悪用されていないとしています。

• CVE-2021-31204 – .NET および Visual Studio における特権昇格の脆弱性
• CVE-2021-31207 – Microsoft Exchange Server のセキュリティ機能バイパスの脆弱性。2021年のPwn2Ownのハッキングチャレンジで使用されました。これがDevcore社やTeam Viettel社が公開した脆弱性であるかどうかは明らかではありません。
• CVE-2021-31200 – 共通ユーティリティーのリモートコード実行の脆弱性。この脆弱性はResec System の Abhiram V 氏が GitHub で公開しました。

今回発表されたゼロデイは、いずれも実社会で悪用されたという報告はありません。

ただし攻撃者がパッチを分析して、特にMicrosoft Exchangeの脆弱性に対するエクスプロイトを作成することが予想されます。そのため、できるだけ早くセキュリティアップデートを適用することが重要となります。

他社の最新アップデート
5月にアップデートを公開した他のベンダーは以下の通りです。

• Adobe社：Adobe Creative Cloud Desktop、Framemaker、Connectのセキュリティアップデートを公開しました。
• Android：5月のセキュリティアップデートを公開しました。
  • https://source.android.com/security/bulletin/2021-04-01
• Apple：iOS、macOS、iPadOS、watchOS、Safariのセキュリティアップデートを公開し、Webkitの脆弱性を積極的に悪用した問題を修正しました。
  • https://support.apple.com/en-us/HT212336
• Cisco：多数の製品のセキュリティアップデートを公開しました。
  • https://tools.cisco.com/security/center/publicationListing.x
• SAP：2021年5月のセキュリティアップデートを公開しました。
  • https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=576094655
• VMware：5月のセキュリティアップデートを公開しました
  • https://www.vmware.com/security/advisories/VMSA-2021-0007.html
  • https://www.vmware.com/security/advisories/VMSA-2021-0008.html

以下は、2021年5月のパッチチューズデーアップデートで解決された脆弱性とリリースされた修正の全リストです。各脆弱性の完全な説明と影響を受けるシステムにアクセスするには、それぞれのページを参照してください。