Microsoft 2022 年 12 月の月例パッチで 2 つのゼロデイと 49 の欠陥が修正される

.crit {
font-weight:bold;
color:red;
}
.article_section td {
font-size: 14px!important;
}

今日はマイクロソフトの 2022 年 12 月の月例パッチで、積極的に悪用されているバグを含む 2 つのゼロデイ脆弱性と合計 49 の欠陥に対する修正が含まれています。

本日のアップデートで修正された 49 件の脆弱性のうち 6 件は、最も深刻なタイプの脆弱性の 1 つであるリモート コード実行を可能にするため、「緊急」に分類されています。

各脆弱性カテゴリのバグ数は次のとおりです。

• 19 権限昇格の脆弱性
• 2 セキュリティ機能バイパスの脆弱性
• 23 リモートでコードが実行される脆弱性
• 3 情報漏えいの脆弱性
• 3 サービス拒否の脆弱性
• 1 なりすましの脆弱性

上記の数には、12 月 5 日に以前に修正された 25 件の Microsoft Edge の脆弱性は含まれていません。

2 つのゼロデイが修正されました

今月のパッチ チューズデーでは、2 つのゼロデイ脆弱性が修正されています。1 つは積極的に悪用され、もう 1 つは公開されています。

Microsoft は、脆弱性が一般に公開されているか、公式の修正プログラムがない状態で積極的に悪用されている場合、その脆弱性をゼロデイとして分類します。

本日のアップデートで修正された、活発に悪用され公開されているゼロデイ脆弱性は次のとおりです。

CVE-2022-44698 – Windows SmartScreen セキュリティ機能バイパスの脆弱性 ウィル・ドーマンによって発見されました。

「攻撃者は、Mark of the Web (MOTW) 防御を回避する悪意のあるファイルを作成することができ、その結果、MOTW タグ付けに依存する Microsoft Office の保護されたビューなどのセキュリティ機能の整合性と可用性が制限的に失われます。」

攻撃者は、不正な形式の署名を使用して署名された悪意のあるスタンドアロン JavaScript ファイルを作成することにより、この脆弱性を悪用しました。

この方法で署名すると、 SmartCheck がエラーになり、 Mark of the Web セキュリティ警告が表示されなくなり、悪意のあるスクリプトが実行され、マルウェアが自動的にインストールされる可能性があります。

攻撃者は、 QBot トロイの木馬や Magniber Ransomware を広めるキャンペーンなど、多数のマルウェア配布キャンペーンでこの脆弱性を積極的に悪用しました。

公開されているその他の脆弱性は次のとおりです。

CVE-2022-44710 – Luka Pribanić によって発見された DirectX グラフィックス カーネルの特権昇格の脆弱性。

「この脆弱性の悪用に成功するには、攻撃者が競合状態に勝つ必要があります。この脆弱性の悪用に成功した攻撃者は、SYSTEM 権限を取得する可能性があります。」

他社からの最近のアップデート

2022 年 12 月に更新プログラムをリリースしたその他のベンダーは次のとおりです。

• シスコは、 Cisco IP Phone 7800 および 8800 電話のセキュリティ アップデートをリリースしました。
• Citrix は、Citrix ADA および Gateway の「重大」で積極的に悪用されている RCE の欠陥に対するセキュリティ更新プログラムをリリースしました。
• フォーティネットは、 FortiOS の SSL-VPN 脆弱性を積極的に悪用するためのセキュリティ アップデートをリリースしました。
• Google はAndroid の 12 月のセキュリティ アップデートをリリースしました。
• SAP は、 2022 年 12 月のパッチ デイアップデートをリリースしました。

2022 年 12 月の月例パッチのセキュリティ更新プログラム

以下は、2022 年 12 月の月例パッチ更新で解決された脆弱性とリリースされたアドバイザリの完全なリストです。各脆弱性とその影響を受けるシステムの完全な説明にアクセスするには、 ここで完全なレポートを表示できます。