エクスプロイト&脆弱性
2022年1月のセキュリティアップデート解説:Microsoftが96件の脆弱性を対処
1月11日火曜日にAdobe社とMicrosoft社から最新のセキュリティアップデートが公開されました。今回リリースされたセキュリティ更新プログラムの詳細について確認しましょう。
1月11日火曜日にAdobe社とMicrosoft社から最新のセキュリティアップデートが公開されました。今回リリースされたセキュリティ更新プログラムの詳細について確認しましょう。
■Adobe社による2022年1月のセキュリティアップデート
1月、Adobe社は「Adobe Acrobat and Reader」、「Adobe Illustrator」、「Adobe Bridge」、「Adobe InCopy」、「Adobe InDesign」に確認された計41件の脆弱性に対処する、5つのパッチをリリースしました。これらの脆弱性のうち22件が「Zero Day Initiative(ZDI)」による「ZDI program」を通して発見されたものです。Adobe Acrobat and Readerのアップデートにより、26件の脆弱性が修正されました。このうち最も深刻なものは、ユーザが特別に細工されたPDFを開くと、攻撃者によるリモートコード実行(RCE)が可能になる脆弱性です。ハッキングコンテスト「Tianfu Cup」で実証されている脆弱性も含まれているため、今後実際の攻撃に利用されることが予想されます。Adobe InCopyのアップデートでは、「Critical(緊急)」レベルのRCEの脆弱性3件と、「Important(重要)」レベルの特権昇格(EoP)の脆弱性1件が修正されます。Adobe InDesignのアップデートでは、任意のコード実行につながる「緊急」レベルの境界外(Out-of-Bounds、OOB)書き込みの脆弱性2件と、特権の昇格につながる「Moderate(警告)」レベルの解放済みメモリ使用(Use-After-Free、UAF)の脆弱性1件が修正されます。Adobe BridgeのアップデートではOOB書き込みの脆弱性6件が修正されていますが、「緊急」レベルのものは任意のコード実行につながる1件だけで、その他は、特権昇格とメモリ漏えいにつながる脆弱性が混在しています。最後に、Adobe Illustratorのアップデートでは2件のOOB読み取りの脆弱性が修正されていますが、コード実行に利用できるものではありません。
今月Adobe社によって修正された脆弱性はいずれも、リリース時点で一般に公開されている、あるいは悪用の事実を確認されているものはありません。
■Microsoft社による2022年1月のセキュリティ更新プログラム
1月、Microsoft社は、「Microsoft Windows」およびWindowsコンポーネント、「Microsoft Edge (Chromium版)」、「Exchange Server」、「Microsoft Office」およびOfficeコンポーネント、「SharePoint Server」、「.NET Framework」、「Microsoft Dynamics」、「オープンソースソフトウェア」、「Windows Hyper-V」、「Windows Defender」、「Windows リモート デスクトップ プロトコル(RDP)」に新しく確認された96件の脆弱性に対処するパッチをリリースしました。これに加えて、1月初めにはMicrosoft Edge(Chromium版)の脆弱性24件と、オープンソースプロジェクトの脆弱性2件が対処済みとなっているため、1月に対処された脆弱性は合計で122件となります。
これは、例年1月のアップデートで対処される脆弱性総数としては非常に多いと言えます。過去数年間を見ると、1月にリリースされた更新プログラムの平均数はこの約半分です。今後、年間を通じて大量の更新プログラムがリリースされることになることが懸念されます。2021年末にリリースされた更新プログラム件数と比較しても明らかな変化といえます。
今回更新プログラムが適用された脆弱性のうち、9件は深刻度「Critical(緊急)」、89件は「Important(重要)」と評価されています。うち5件はZDIプログラムを通じて発見されたものです。6件については、リリース時点で一般に公開「あり」と記載されていますが、悪用の事実を確認済みとされているものはありません。拡散機能を持つ「ワーム可能(wormable)」として記載されているhttp.sysの脆弱性をはじめとして、1月の脆弱性の興味深いものについて詳しく見てみましょう。
- CVE-2022-21907 :HTTP プロトコル スタックのリモートでコードが実行される脆弱性
この脆弱性を利用することによって攻撃者は、パケットを処理する際にHTTPプロトコルスタック(http.sys)を利用するシステムに対して、特別に細工したパケットを送信することによりコードの実行が可能になります。ユーザの介在も特権も必要なく、昇格されたサービスが加わることでワーム可能な脆弱性になります。サーバに影響する脆弱性であることは間違いありませんが、Windowsクライアントもhttp.sysを実行可能であるため、対象のバージョンすべてがこの脆弱性の影響を受けることに留意し、迅速に更新プログラムを展開してください。
- CVE-2022-21846 :Microsoft Exchange Server のリモートでコードが実行される脆弱性
このExchangeのRCEの脆弱性も、国家安全保障局(NSA)によって報告されたExchangeの脆弱性です。今月修正された3件のExchange のRCEの脆弱性の1つですが、「緊急」と評価されているものはこれのみです。すべて、CVSSスコアにおいて攻撃元区分は「隣接」と記載されており、攻撃者は何らかの方法でターゲットのネットワークに結びついている必要があります。それでも、ターゲットのネットワークに足がかりを持つインサイダーあるいは攻撃者は、この脆弱性を利用してExchangeサーバを乗っ取ることが可能になります。
- CVE-2022-21840:Microsoft Office のリモートでコードが実行される脆弱性
ほとんどのOffice関連のRCEの脆弱性における深刻度は、ユーザによるなんらかの操作が必要とされ、また、警告ダイアログが表示されることも多いため、「重要」レベルの評価となっていますが、この脆弱性については「緊急」です。通常、プレビューペインが攻撃元区分であることが理由となりますが、ここではそれも該当しません。察するに、特別に細工されたファイルを開いたときに警告ダイアログが表示されないことが「緊急」とされた理由と考えられます。この脆弱性に対処するための更新プログラムは複数あるため、利用可能なすべての更新プログラムを適用するようにしてください。残念ながら、Office 2019 for Mac、およびMicrosoft Office LTSC for Mac 2021を使用している場合は、該当する更新プログラムが公開されていないので、どうすることもできません。Microsoft社が更新プログラムをすぐに公開してくれることを期待しましょう。
- CVE-2022-21857:Active Directory Domain Servicesの特権昇格の脆弱性
この更新プログラムは、特定の条件下でのActive Directoryの信頼境界を越えて特権昇格が可能になる脆弱性です。特権の昇格は通常、深刻度「重要」の評価となりますが、Microsoft社はこの脆弱性が十分「緊急」であると判断しました。悪用にはある程度の権限が必要です。そのため、ネットワークに足場を持つインサイダーなどの攻撃者が、これをラテラルムーブメント(横展開)や組織内での活動維持に利用する可能性があります。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般に公開 | 悪用 | 種類 |
CVE-2022-21907 | HTTP プロトコル スタックのリモートでコードが実行される脆弱性 | 緊急 | 9.8 | なし | なし | RCE |
CVE-2022-21846 | Microsoft Exchange Server のリモートでコードが実行される脆弱性 | 緊急 | 9 | なし | なし | RCE |
CVE-2022-21840 | Microsoft Office のリモートでコードが実行される脆弱性 | 緊急 | 8.8 | なし | なし | RCE |
CVE-2022-21857 | Active Directory Domain Services の特権の昇格の脆弱性 | 緊急 | 8.8 | なし | なし | EoP |
2022年1月にMicrosoft社が更新プログラムで対処している脆弱性の一覧はこちらから確認してください。
今月リリースされた「緊急」評価の残りの脆弱性を見ると、DirectXに影響を与えるものが2件、HEVCビデオ拡張に影響を与えるものが1件です。特別に細工されたメディアファイルを表示すると、攻撃者によるコードの実行が可能になります。HEVCビデオ拡張機能の場合、アップデートを受信するには「Microsoftストア」に接続している必要があります。そうでない場合は、更新プログラムが適用されたことを手動で確認する必要があります。また、特権昇格を可能にする仮想マシンのIDEドライブの更新プログラムがありますが、この脆弱性は「攻撃条件の複雑さ」が「高」となっています。実際の攻撃に利用されるためには、かなりの作業が必要になると思われます。1月の「緊急」評価の脆弱性の最後は、2021年9月に脆弱性報告プラットフォーム「HackerOne」で報告されたものです。更新プログラムには、この脆弱性に対処する最新バージョンのCurlライブラリが含まれています。このような理由から、この脆弱性は一般に公開済みとされています。同様に、Libarchiveオープンソースライブラリの更新プログラムも2021年に公開されており、現在ではMicrosoft製品にライブラリの最新バージョンが組み込まれています。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般に公開 | 悪用 | 種類 |
CVE-2021-22947 * | オープン ソース Curl のリモートでコードが実行される脆弱性 | 緊急 | N/A | あり | なし | RCE |
CVE-2022-21912 | DirectX Graphics カーネルのリモートでコードが実行される脆弱性 | 緊急 | 7.8 | なし | なし | RCE |
CVE-2022-21898 | DirectX Graphics カーネルのリモートでコードが実行される脆弱性 | 緊急 | 7.8 | なし | なし | RCE |
CVE-2022-21917 | HEVC ビデオ拡張機能のリモートでコードが実行される脆弱性 | 緊急 | 7.8 | なし | なし | RCE |
CVE-2022-21833 | 仮想マシンの IDE ドライブの特権の昇格の脆弱性 | 緊急 | 7.8 | なし | なし | EoP |
CVE-2022-0096 * | Chromium: CVE-2022-0096 Use after free in Storage | 緊急 | N/A | なし | なし |
次に「重要」の更新プログラムに目を移すと、リモートでコードが実行される脆弱性(RCE)が20以上あります。これらのうち8件は、Windows Resilient File System(ReFS)に影響を与えるものですが、攻撃に利用するには物理的にアクセスする必要があります。Microsoft社は物理的な操作を必要とする脆弱性についていつも更新プログラムを用意するとは限りませんが、USBデバイスを挿入するだけでコード実行が可能になるため、例外の対応と考えられます。CVSS評価が9.8のWindowsインターネットキーエクスチェンジ(IKE)プロトコル拡張の脆弱性もあります。Microsoft社によると、この脆弱性を利用することでリモートの攻撃者が「認証されずに複数の脆弱性をトリガーする可能性」がありますが、複数の脆弱性とはどれかなどの詳細は提供されていません。この脆弱性の影響を受けるのはIPSecサービスが実行中のシステムのみです。
リモートデスクトッププロトコル(RDP)にいくつかRCEの脆弱性がありますが、これらはRDPクライアントに影響を与えるものです。RDPの脆弱性を攻撃に利用するためには、標的のユーザを悪意のあるRDPサーバに接続させる必要があります。これは、以前にパッチ適用済みのBlueKeep RDPの脆弱性ほど深刻なものではありません。OfficeコンポーネントにもいくつかRCEの脆弱性と、前述した「重要」評価のExchangeの脆弱性があります。また、Microsoft Edge(Chromium版)の脆弱性が修正されており、これは1月初めに統合されているChromiumの修正とは別のものです。
その他、Windows Security Center APIの更新プログラムもありますが、コード実行がどのように発生するかについては述べられていません。なお、これはリモートコード実行(RCE)の脆弱性ですが、攻撃元区分には「ローカル」と記載されています。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般に公開 | 悪用 | 種類 |
CVE-2021-36976 * | Libarchive のリモートでコードが実行される脆弱性 | 重要 | N/A | あり | なし | RCE |
CVE-2022-21874 | Windows Security Center API のリモートでコードが実行される脆弱性 | 重要 | 7.8 | あり | なし | RCE |
CVE-2022-21841 | Microsoft Excel のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2022-21855 | Microsoft Exchange Server のリモートでコードが実行される脆弱性 | 重要 | 9 | なし | なし | RCE |
CVE-2022-21969 | Microsoft Exchange Server のリモートでコードが実行される脆弱性 | 重要 | 9 | なし | なし | RCE |
CVE-2022-21837 | Microsoft SharePoint Server のリモートでコードが実行される脆弱性 | 重要 | 8.3 | なし | なし | RCE |
CVE-2022-21842 | Microsoft Word のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2022-21850 | リモート デスクトップ クライアントのリモートでコードが実行される脆弱性 | 重要 | 8.8 | なし | なし | RCE |
CVE-2022-21851 | リモート デスクトップ クライアントのリモートでコードが実行される脆弱性 | 重要 | 8.8 | なし | なし | RCE |
CVE-2022-21893 | リモート デスクトップ プロトコルのリモートでコードが実行される脆弱性 | 重要 | 8.8 | なし | なし | RCE |
CVE-2022-21922 | リモート プロシージャ コール ランタイムのリモートでコードが実行される脆弱性 | 重要 | 8.8 | なし | なし | RCE |
CVE-2022-21878 | Windows Geolocation Service のリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2022-21849 | Windows IKE Extension のリモートでコードが実行される脆弱性 | 重要 | 9.8 | なし | なし | RCE |
CVE-2022-21888 | Windows モダン実行サーバーのリモートでコードが実行される脆弱性 | 重要 | 7.8 | なし | なし | RCE |
CVE-2022-21892 | Windows Resilient File System (ReFS) のリモートでコードが実行される脆弱性 | 重要 | 6.8 | なし | なし | RCE |
CVE-2022-21958 | Windows Resilient File System (ReFS) のリモートでコードが実行される脆弱性 | 重要 | 6.8 | なし | なし | RCE |
CVE-2022-21959 | Windows Resilient File System (ReFS) のリモートでコードが実行される脆弱性 | 重要 | 6.8 | なし | なし | RCE |
CVE-2022-21960 | Windows Resilient File System (ReFS) のリモートでコードが実行される脆弱性 | 重要 | 6.8 | なし | なし | RCE |
CVE-2022-21961 | Windows Resilient File System (ReFS) のリモートでコードが実行される脆弱性 | 重要 | 6.8 | なし | なし | RCE |
CVE-2022-21962 | Windows Resilient File System (ReFS) のリモートでコードが実行される脆弱性 | 重要 | 6.8 | なし | なし | RCE |
CVE-2022-21963 | Windows Resilient File System (ReFS) のリモートでコードが実行される脆弱性 | 重要 | 6.4 | なし | なし | RCE |
CVE-2022-21928 | Windows Resilient File System (ReFS) のリモートでコードが実行される脆弱性 | 重要 | 6.3 | なし | なし | RCE |
CVE-2022-21863 | Windows StateRepository API Server ファイルの特権の昇格の脆弱性 | 重要 | 7 | なし | なし | RCE |
特権の昇格(EoP)の脆弱性に対処する更新プログラムが41件も提供されていますが、これらの脆弱性を利用するためには、攻撃者がシステムにログオンして、特別に細工したプログラムを実行する必要があるものがほとんどです。多くのWindowsコンポーネント、特にカーネルおよびカーネルモードドライバーにこのEoPの脆弱性が存在します。ただ、Hyper-VのEoPの場合は異なります。この場合、ゲストOSの攻撃者は、同じHyper-Vホストでホストされている別のHyper-Vゲストのプロセスとやりとりできる可能性があります。完全な「ゲストからホストへのエスケープ(Guest-to-Host Escape)」ではありませんが、それでも攻撃者にとっては非常に有用である可能性があります。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般に公開 | 悪用 | 種類 |
CVE-2022-21919 | Windows User Profile Service の特権の昇格の脆弱性 | 重要 | 7 | あり | なし | EoP |
CVE-2022-21869 | クリップボード ユーザー サービスの特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21865 | DirectX グラフィック カーネル ファイルのサービス拒否の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21884 | ローカル セキュリティ機関サブシステム サービスの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-21910 | Microsoft クラスター ポート ドライバーの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-21835 | Microsoft Cryptographic Services の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-21871 | Microsoft 診断ハブ標準コレクター ランタイムの特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21970 | Microsoft Edge (Chromium ベース) の特権の昇格の脆弱性 | 重要 | 6.1 | なし | なし | EoP |
CVE-2022-21870 | タブレット Windows ユーザー インターフェイス アプリケーション コアの特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21861 | タスク フロー データ エンジンの特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21873 | タイル データ リポジトリの特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21882 | Win32k の特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21887 | Win32k の特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21859 | Windows Accounts Control の特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21860 | Windows AppContracts API Server の特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21862 | Windows Application Model Core API の特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21858 | Windows Bind Filter ドライバーの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-21838 | Windows クリーンアップ マネージャーの特権の昇格の脆弱性 | 重要 | 5.5 | なし | なし | EoP |
CVE-2022-21916 | Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-21897 | Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-21868 | Windows Devices Human Interface の特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21852 | Windows DWM Core ライブラリの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-21902 | Windows DWM Core ライブラリの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-21896 | Windows DWM Core ライブラリの特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21872 | Windows Event Tracing の特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21903 | Windows GDI の特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21901 | Windows Hyper-V の特権の昇格の脆弱性 | 重要 | 9 | なし | なし | EoP |
CVE-2022-21908 | Windows インストーラーの特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-21920 | Windows Kerberos の特権の昇格の脆弱性 | 重要 | 8.8 | なし | なし | EoP |
CVE-2022-21879 | Windows カーネルの特権の昇格の脆弱性 | 重要 | 5.5 | なし | なし | EoP |
CVE-2022-21881 | Windows カーネルの特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21867 | Windows プッシュ通知アプリの特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21885 | Windows Remote Access Connection Manager の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-21914 | Windows Remote Access Connection Manager の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-21875 | Windows ストレージの特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21866 | Windows System Launcher の特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21864 | Windows UI Immersive Server API の特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
CVE-2022-21895 | Windows UI Immersive Server API の特権の昇格の脆弱性 | 重要 | 7.8 | なし | なし | EoP |
CVE-2022-21834 | Windows ユーザー モード ドライバー フレームワーク リフレクター ドライバーの特権の昇格の脆弱性 | 重要 | 7 | なし | なし | EoP |
9件のセキュリティ機能バイパス(SFB)の脆弱性に移ると、影響を受けるコンポーネントの一部が目を引きます。残念ながら、バイパスされるセキュリティ機能や、企業のセキュリティにどのように影響するかについての情報は提供されていません。ローカルセキュリティ機関、セキュアブート機能、Windows Defender、ワークステーションサービスなど、いくつかの重要なコンポーネントはすべて更新プログラムを受信していると考えられます。唯一の例外は、Hyper-Vの2つのSFBの脆弱性です。ルーターガードを使用する構成の場合、通常はドロップされるパケットが処理されてしまう可能性があります。これにより、攻撃者は設定されたポリシーをバイパスし、ルーターパスに影響を与える可能性があります。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般に公開 | 悪用 | 種類 |
CVE-2022-21913 | ローカル セキュリティ機関 (ドメイン ポリシー) リモート プロトコルのセキュリティ機能のバイパス | 重要 | 5.3 | なし | なし | SFB |
CVE-2022-21894 | セキュア ブートのセキュリティ機能のバイパスの脆弱性 | 重要 | 4.4 | なし | なし | SFB |
CVE-2022-21925 | Windows BackupKey リモート プロトコルのセキュリティ機能のバイパスの脆弱性 | 重要 | 5.3 | なし | なし | SFB |
CVE-2022-21906 | Windows Defender アプリケーション制御のセキュリティ機能のバイパスの脆弱性 | 重要 | 5.5 | なし | なし | SFB |
CVE-2022-21921 | Windows Defender Credential Guard のセキュリティ機能のバイパスの脆弱性 | 重要 | 4.4 | なし | なし | SFB |
CVE-2022-21899 | Windows Extensible Firmware Interface のセキュリティ機能のバイパスの脆弱性 | 重要 | 5.5 | なし | なし | SFB |
CVE-2022-21900 | Windows Hyper-V のセキュリティ機能のバイパスの脆弱性 | 重要 | 4.6 | なし | なし | SFB |
CVE-2022-21905 | Windows Hyper-V のセキュリティ機能のバイパスの脆弱性 | 重要 | 4.6 | なし | なし | SFB |
CVE-2022-21924 | ワークステーション サービス リモート プロトコルのセキュリティ機能のバイパスの脆弱性 | 重要 | 5.3 | なし | なし | SFB |
今月はサービス拒否(DoS)の脆弱性9件が含まれています。これらの脆弱性のほとんどはWindows IKE 拡張機能に存在していますが、IPSecサービスが実行されているシステムのみがこれらの影響を受けます。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般に公開 | 悪用 | 種類 |
CVE-2022-21839 | Windows イベント トレーシングの随意アクセス制御リストのサービス拒否の脆弱性 | 重要 | 6.1 | あり | なし | DoS |
CVE-2022-21911 | .NET Framework のサービス拒否の脆弱性 | 重要 | 7.5 | なし | なし | DoS |
CVE-2022-21918 | DirectX グラフィック カーネル ファイルのサービス拒否の脆弱性 | 重要 | 6.5 | なし | なし | DoS |
CVE-2022-21847 | Windows Hyper-V のサービス拒否の脆弱性 | 重要 | 6.5 | なし | なし | DoS |
CVE-2022-21843 | Windows IKE Extension のサービス拒否の脆弱性 | 重要 | 7.5 | なし | なし | DoS |
CVE-2022-21883 | Windows IKE Extension のサービス拒否の脆弱性 | 重要 | 7.5 | なし | なし | DoS |
CVE-2022-21848 | Windows IKE Extension のサービス拒否の脆弱性 | 重要 | 7.5 | なし | なし | DoS |
CVE-2022-21889 | Windows IKE Extension のサービス拒否の脆弱性 | 重要 | 7.5 | なし | なし | DoS |
CVE-2022-21890 | Windows IKE Extension のサービス拒否の脆弱性 | 重要 | 7.5 | なし | なし | DoS |
また、今月のリリースには情報漏えいの脆弱性に対処する6件の更新プログラムが含まれています。これらのほとんどは、不特定のメモリ内容の漏えいを引き起こすのみです。ただし、リモートデスクトップライセンス診断の脆弱性により、攻撃者がメモリからクリアテキストパスワードを回復できる可能性があります。
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般に公開 | 悪用 | 種類 |
CVE-2022-21964 | リモート デスクトップ ライセンス診断の情報漏えいの脆弱性 | 重要 | 5.5 | なし | なし | Info |
CVE-2022-21877 | Storage Spaces Controller の情報漏えいの脆弱性 | 重要 | 5.5 | なし | なし | Info |
CVE-2022-21876 | Win32k の情報漏えいの脆弱性 | 重要 | 5.5 | なし | なし | Info |
CVE-2022-21904 | Windows GDI の情報漏えいの脆弱性 | 重要 | 7.5 | なし | なし | Info |
CVE-2022-21915 | Windows GDI+ の情報漏えいの脆弱性 | 重要 | 6.5 | なし | なし | Info |
CVE-2022-21880 | Windows GDI+ の情報漏えいの脆弱性 | 重要 | 7.5 | なし | なし | Info |
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般に公開 | 悪用 | 種類 |
CVE-2022-21836 | Windows 証明書のなりすましの脆弱性 | 重要 | 7.8 | あり | なし | Spoofing |
CVE-2022-21891 | Microsoft Dynamics 365 Sales のなりすましの脆弱性 | 重要 | 7.6 | なし | なし | Spoofing |
CVE識別番号 | 脆弱性名称 | 深刻度 | CVSS | 一般に公開 | 悪用 | 種類 |
CVE-2022-21932 | Microsoft Dynamics 365 Customer Engagement のクロスサイト スクリプトの脆弱性 | 重要 | 7.6 | なし | なし | XSS |
参考記事:
- 「THE JANUARY 2022 SECURITY UPDATE REVIEW」By Dustin Childs
- 翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)