マイクロソフト、2021年5月パッチ配信で55の脆弱性と3つのゼロデイの脆弱性が修正

マイクロソフトの2021年5月パッチ配信日(パッチチューズデー)では、55の脆弱性、3つのゼロデイが修正されました。

2021年5月12日マイクロソフトの2021年5月のパッチチューズデーですが、これには3つのゼロデイ脆弱性が含まれており、Windows管理者は更新プログラムの適用を至急行ったほうがよいものになっっております。

本アップデートでは、マイクロソフトは55件の脆弱性を修正、4件が「重要」、50件が「重要」、1件が「中程度」に分類されています。

今回修正された3つのゼロデイ脆弱性は、一般に公開されているものの攻撃に使用されている事実は把握されていません。

セキュリティ以外のWindowsアップデートについては、今回のWindows 10 KB5003169 & KB5003173累積アップデートをご覧ください。

3つのゼロデイ脆弱性を修正

今回のパッチチューズデーの一環として、マイクロソフトは公開されている3つの脆弱性を修正しました。

以下の4つの脆弱性は、マイクロソフトが公開されているが悪用されていないとしています。

  • CVE-2021-31204 – .NET および Visual Studio における特権昇格の脆弱性
  • CVE-2021-31207 – Microsoft Exchange Server のセキュリティ機能バイパスの脆弱性。2021年のPwn2Ownのハッキングチャレンジで使用されました。これがDevcore社やTeam Viettel社が公開した脆弱性であるかどうかは明らかではありません。
  • CVE-2021-31200 – 共通ユーティリティーのリモートコード実行の脆弱性。この脆弱性はResec System の Abhiram V 氏が GitHub で公開しました。

今回発表されたゼロデイは、いずれも実社会で悪用されたという報告はありません。

ただし攻撃者がパッチを分析して、特にMicrosoft Exchangeの脆弱性に対するエクスプロイトを作成することが予想されます。そのため、できるだけ早くセキュリティアップデートを適用することが重要となります。

他社の最新アップデート
5月にアップデートを公開した他のベンダーは以下の通りです。

以下は、2021年5月のパッチチューズデーアップデートで解決された脆弱性とリリースされた修正の全リストです。各脆弱性の完全な説明と影響を受けるシステムにアクセスするには、それぞれのページを参照してください。

TagCVE IDCVE TitleSeverity
.NET Core & Visual StudioCVE-2021-31204.NET and Visual Studio Elevation of Privilege VulnerabilityImportant
HTTP.sysCVE-2021-31166HTTP Protocol Stack Remote Code Execution VulnerabilityCritical
Internet ExplorerCVE-2021-26419Scripting Engine Memory Corruption VulnerabilityCritical
Jet Red and Access ConnectivityCVE-2021-28455Microsoft Jet Red Database Engine and Access Connectivity Engine Remote Code Execution VulnerabilityImportant
Microsoft Accessibility Insights for WebCVE-2021-31936Microsoft Accessibility Insights for Web Information Disclosure VulnerabilityImportant
Microsoft Bluetooth DriverCVE-2021-31182Microsoft Bluetooth Driver Spoofing VulnerabilityImportant
Microsoft Dynamics Finance & OperationsCVE-2021-28461Dynamics Finance and Operations Cross-site Scripting VulnerabilityImportant
Microsoft Exchange ServerCVE-2021-31195Microsoft Exchange Server Remote Code Execution VulnerabilityImportant
Microsoft Exchange ServerCVE-2021-31209Microsoft Exchange Server Spoofing VulnerabilityImportant
Microsoft Exchange ServerCVE-2021-31207Microsoft Exchange Server Security Feature Bypass VulnerabilityModerate
Microsoft Exchange ServerCVE-2021-31198Microsoft Exchange Server Remote Code Execution VulnerabilityImportant
Microsoft Graphics ComponentCVE-2021-31170Windows Graphics Component Elevation of Privilege VulnerabilityImportant
Microsoft Graphics ComponentCVE-2021-31188Windows Graphics Component Elevation of Privilege VulnerabilityImportant
Microsoft OfficeCVE-2021-31176Microsoft Office Remote Code Execution VulnerabilityImportant
Microsoft Office ExcelCVE-2021-31175Microsoft Office Remote Code Execution VulnerabilityImportant
Microsoft Office ExcelCVE-2021-31177Microsoft Office Remote Code Execution VulnerabilityImportant
Microsoft Office ExcelCVE-2021-31179Microsoft Office Remote Code Execution VulnerabilityImportant
Microsoft Office ExcelCVE-2021-31178Microsoft Office Information Disclosure VulnerabilityImportant
Microsoft Office ExcelCVE-2021-31174Microsoft Excel Information Disclosure VulnerabilityImportant
Microsoft Office SharePointCVE-2021-28478Microsoft SharePoint Spoofing VulnerabilityImportant
Microsoft Office SharePointCVE-2021-31181Microsoft SharePoint Remote Code Execution VulnerabilityImportant
Microsoft Office SharePointCVE-2021-26418Microsoft SharePoint Spoofing VulnerabilityImportant
Microsoft Office SharePointCVE-2021-28474Microsoft SharePoint Server Remote Code Execution VulnerabilityImportant
Microsoft Office SharePointCVE-2021-31171Microsoft SharePoint Information Disclosure VulnerabilityImportant
Microsoft Office SharePointCVE-2021-31173Microsoft SharePoint Server Information Disclosure VulnerabilityImportant
Microsoft Office SharePointCVE-2021-31172Microsoft SharePoint Spoofing VulnerabilityImportant
Microsoft Office WordCVE-2021-31180Microsoft Office Graphics Remote Code Execution VulnerabilityImportant
Microsoft Windows Codecs LibraryCVE-2021-31192Windows Media Foundation Core Remote Code Execution VulnerabilityImportant
Microsoft Windows Codecs LibraryCVE-2021-28465Web Media Extensions Remote Code Execution VulnerabilityImportant
Microsoft Windows IrDACVE-2021-31184Microsoft Windows Infrared Data Association (IrDA) Information Disclosure VulnerabilityImportant
Open Source SoftwareCVE-2021-31200Common Utilities Remote Code Execution VulnerabilityImportant
Role: Hyper-VCVE-2021-28476Hyper-V Remote Code Execution VulnerabilityCritical
Skype for Business and Microsoft LyncCVE-2021-26422Skype for Business and Lync Remote Code Execution VulnerabilityImportant
Skype for Business and Microsoft LyncCVE-2021-26421Skype for Business and Lync Spoofing VulnerabilityImportant
Visual StudioCVE-2021-27068Visual Studio Remote Code Execution VulnerabilityImportant
Visual Studio CodeCVE-2021-31214Visual Studio Code Remote Code Execution VulnerabilityImportant
Visual Studio CodeCVE-2021-31211Visual Studio Code Remote Code Execution VulnerabilityImportant
Visual Studio CodeCVE-2021-31213Visual Studio Code Remote Containers Extension Remote Code Execution VulnerabilityImportant
Windows Container Isolation FS Filter DriverCVE-2021-31190Windows Container Isolation FS Filter Driver Elevation of Privilege VulnerabilityImportant
Windows Container Manager ServiceCVE-2021-31168Windows Container Manager Service Elevation of Privilege VulnerabilityImportant
Windows Container Manager ServiceCVE-2021-31169Windows Container Manager Service Elevation of Privilege VulnerabilityImportant
Windows Container Manager ServiceCVE-2021-31208Windows Container Manager Service Elevation of Privilege VulnerabilityImportant
Windows Container Manager ServiceCVE-2021-31165Windows Container Manager Service Elevation of Privilege VulnerabilityImportant
Windows Container Manager ServiceCVE-2021-31167Windows Container Manager Service Elevation of Privilege VulnerabilityImportant
Windows CSC ServiceCVE-2021-28479Windows CSC Service Information Disclosure VulnerabilityImportant
Windows Desktop BridgeCVE-2021-31185Windows Desktop Bridge Denial of Service VulnerabilityImportant
Windows OLECVE-2021-31194OLE Automation Remote Code Execution VulnerabilityCritical
Windows Projected File System FS FilterCVE-2021-31191Windows Projected File System FS Filter Driver Information Disclosure VulnerabilityImportant
Windows RDP ClientCVE-2021-31186Windows Remote Desktop Protocol (RDP) Information Disclosure VulnerabilityImportant
Windows SMBCVE-2021-31205Windows SMB Client Security Feature Bypass VulnerabilityImportant
Windows SSDP ServiceCVE-2021-31193Windows SSDP Service Elevation of Privilege VulnerabilityImportant
Windows WalletServiceCVE-2021-31187Windows WalletService Elevation of Privilege VulnerabilityImportant
Windows Wireless NetworkingCVE-2020-24588Windows Wireless Networking Spoofing VulnerabilityImportant
Windows Wireless NetworkingCVE-2020-24587Windows Wireless Networking Information Disclosure VulnerabilityImportant
Windows Wireless NetworkingCVE-2020-26144Windows Wireless Networking Spoofing VulnerabilityImportant

コメント

タイトルとURLをコピーしました