Microsoftは12月の月例セキュリティパッチの配信を開始しました。Microsoftがリリースした12月の月例セキュリティパッチでは、実際に悪用されている「Windows」OSのゼロデイ脆弱性を含む36件の脆弱性の修正に対応しています。
Microsoftは米現地時間12月10日、12月の月例セキュリティパッチ/ Windows Update の配信を開始しました。
12月の月例セキュリティパッチ「Patch Tuesday」では、新規セキュリティ更新プログラムと新規のセキュリティアドバイザリ1件の公開を行い、さらに既存の脆弱性3件の更新がおこなわれています。
Microsoftではユーザーに対して、できるだけ早めに修正パッチを適用するよう呼びかけています。
12月の月例セキュリティパッチでは、「Windows」OSのゼロデイ脆弱性の修正にも対応しています。
Microsoftによると「ゼロデイ脆弱性(CVE-2019-1458)」については、すでに悪用されている事実も公表されていますので早急なアップデートをおすすめします。
今回のゼロデイ脆弱性は、先日Google Chromeに発覚した「ゼロデイ脆弱性(CVE-2019-13720)」に関連しているとされ、韓国語のニュースサイトに仕掛けられた悪意あるコードから始まった攻撃「Operation WizardOpium」に悪用されていました。
「ゼロデイ脆弱性」を発見したのはKaspersky Labのセキュリティ研究者ですが、KasperskyによるとこのGoogle Chromeのゼロデイ脆弱性は、WizardOpiumと呼ばれるハッカーグループによって悪用されているようです。
WizardOpiumはユーザーを悪意あるサイトに誘導し、この脆弱性を使ってマルウェアに感染させる手口を使っています。Windows OSのアップデートだけでなく、Google Chrome等、対象となるブラウザのアップデートも行うことをおすすめします。
Microsoftがリリースした12月の「月例セキュリティパッチ」の対象となるソフトウェアは以下となっています。
上記の対象ソフトウェアのうち、最大深刻度が4段階で最も高い「緊急」の脆弱性の修正が含まれるソフトウェアは、「Windows(Windows 10/8.1/7、Windows Server 2019/2016/2012 R2/2012/2008 R2/2008)」と「Visual Studio」です。
修正パッチに含まれる脆弱性の件数はCVE番号ベースで36件でうち最大深刻度が「緊急」のものが7件となっています。 詳細については、以下のリンクからMicrosoftの「セキュリティ更新プログラム ガイド」を参考にしてください。