火曜日のパッチ Microsoft は今週のパッチ火曜日にあまり多くの修正を加えておらず、修正は 72 件のみで、そのうち CVSS 脅威ランキング スケールで 9 点以上のスコアを付けたのは 1 件のみです。
さらに差し迫った懸念は、次の 1 つの脆弱性です。 リスト それは積極的に悪用されています – CVE-2024-49138 – これにより、Windows 共通ログ ファイル システム ドライバーに対する特権攻撃がエスカレーションされ、システム全体へのアクセスにつながる可能性があります。 Windows 10 および 11 システムは、Server 2019 以降のビルドと同様に脆弱です。
今月のお楽しみバッグで最高評価の脆弱人は次のとおりです。 CVE-2024-49112、CVSS スコアは 9.8 ですが、Microsoft はこれを悪用するのは難しいと述べています。問題は Windows Lightweight Directory Access Protocol (LDAP) にあり、これにより攻撃者はカスタム LDAP 呼び出しを使用して、Windows 10 システムおよび 2008 年以降のすべてのサーバー OS 上でコードをリモートから実行することができます。
Microsoft は、パッチを適用したくない人、またはパッチを適用できない人に対して回避策を提案しています。ドメイン コントローラーが信頼できないネットワークからの受信 RPC をブロックするか、インターネットから完全に遮断するように設定されている場合、この欠陥を悪用することはできません。この問題を発見したのは、 ユウキ・チェンMicrosoft のトップの民間欠陥発見者の 1 つです。
悪用される可能性が最も高いと評価された 6 つの修正のうち、 CVE-2024-49093 これは最も深刻で、Windows Resilient File System の欠陥により CVSS スコアが 8.8 となり、悪意のある低特権の AppContainer に対してオペレータが脆弱になります。攻撃者がシステムに侵入すると、権限をアップグレードしてコードを実行する可能性があります。
他に悪用される可能性のあるターゲットとしては、Windows 共通ログ ファイル システム ドライバーの特権昇格の欠陥が 2 つあります。 CVE-2024-49088 そして CVE-2024-49090。どちらもユーザーの操作を必要とせず、不正なオペレーターがシステム権限を掌握する可能性があります。 CVE-2024-49114 Windows クラウド ファイル ミニ フィルター ドライバー。
ヒットする可能性が最も高いリストの最後の 2 つは、コード実行の欠陥です。 CVE-2024-49070 これは Sharepoint の問題ですが、攻撃者がそれを機能させるにはローカル アクセスが必要です。しかし CVE-2024-49122 Microsoft メッセージ キューでは、侵入者が MSMQ サーバーに悪意のあるパケットを受信した場合に、リモートでコードが実行される可能性があります。
アドビ・ザ・グリンチ
Microsoft が比較的穏やかなパッチを公開した後、Adobe は本日、合計 167 件の欠陥修正を削除しました。来月には心臓が3サイズ大きくなるといいですね。
Adobe Experience Manager を使用している場合は、驚くべき機能があります。 91の欠陥 修正します。重要なのは 1 つだけですが、すべてにパッチを適用する必要があります。Adobe はこれらの一部を雨の日のために保存しているようです。
Adobe Connect にも、 大きなアップデート – 22 件の欠陥が修正され、そのうち 6 件は重大と評価されています。これらは主にクロスサイト スクリプティングの問題ですが、修正する必要がある厄介な CVSS 9.3 の不適切なアクセス制御の問題があります。
Acrobat にとっては状況は良くなります。のみ 6つの欠陥 修正され、CVSS スコアが 7 を超えるものはありませんでした。 Adobe Animate は、 不運 13、奇妙なことに、CVSS スコアはすべて 7.8 です。 インデザイン そして サブスタンス 3D モデラー それぞれ修正すべき問題が 9 件ありますが、CVSS スコア 7.8 を超えるものはありません。
の 4つの欠陥 Adobe Media Encoder では、3 つは任意のコードの実行を許可します(さらに あと3つ Adobe Substance 3D Sampler の場合)、前者にも修正すべきサービス拒否の問題があります。イラストレーターは カップル パッチが必要な重要な問題、 同様に Adobe Substance 3D ペインター。 ®
