Reading Time: 1 minutes
こんにちは。ManageEngineコンテンツ担当の園部です。
今年は早くも秋の訪れを肌で感じるような気候になりつつありますが、今月もPatch Tuesdayは欠かさずやってきます。
2021年9月度のMicrosoftセキュリティ更新プログラムの概要を解説いたします。
今月のアップデートについて解説した後、普段の業務や私生活にも欠かせないウェブブラウザーのセキュリティについてもご紹介しますので、是非最後までご覧ください。
月例のセキュリティ更新プログラムとは?
Microsoft社が毎月第2火曜(日本時間で水曜日の場合もあります)に公開する、OSやその他の関連アプリケーションのセキュリティアップデートやその他アップデートのことを指します。
世界的には「パッチチューズデー(Patch Tuesday)」と呼ばれることもあります。
2021年9月度のMicrosoftセキュリティ更新プログラムの概要
Microsoft社は今月、86件の脆弱性に対する修正を行いました。
そのうち3件が「緊急」、56件が「重要」に分類されています。
今月リリースされたセキュリティアップデートは以下の通りです。
- Azure Open Management Infrastructure
- Microsoft Edge (Chromiumベース)
- Microsoft Office
- Microsoft Windows Codecs Library
- Microsoft Windows DNS
- Visual Studio
- Windows BitLocker
- Windows Kernel
- Windows MSHTML Platform
- Windows Print Spooler Components
- Windows Scripting
- Windows Win32K
- Windows WLAN AutoConfigサービス
修正されたゼロデイ脆弱性
今月は2つのゼロデイ脆弱性が修正され、そのうちの1つは残念ながら既に悪用されているとの報告があります。
今月リリースされたゼロデイ脆弱性の修正は以下の通りです。
| CVE識別番号 | 概要 | 備考 |
|---|---|---|
| CVE-2021-36968 | Windows DNS特権昇格の脆弱性 | – |
| CVE-2021-40444 | Microsoft MSHTML のリモートコード実行の脆弱性 ※悪用の報告あり |
この脆弱性はフィッシング攻撃に積極的に利用されています。 これらの攻撃では、悪意のあるWord文書が配布され、悪意のあるDLLファイルをダウンロード・実行し、被害者のコンピュータにCobalt Strikeのビーコンをインストールします。 このビーコンを使用することで攻撃者はデバイスに不正アクセスすることが可能になります。 |
影響度が緊急の脆弱性とパッチ
今月リリースされた重要度が「緊急」の脆弱性の概要と対応するパッチは以下の通りです。
| CVE識別番号 | KB番号 | 影響を受けるコンポーネント | 概要 |
|---|---|---|---|
| CVE-2021-38647 | – | Azure Open Management Infrastructure | リモートコード実行の脆弱性 |
| CVE-2021-26435 | 5005565, 5005566, 5005568, 5005569, 5005573, 5005606, 5005607, 5005613, 5005615, 5005623, 5005627, 5005633 |
Windows Scripting | Windows Scripting Engineのメモリ破壊の脆弱性 |
| CVE-2021-36965 | 5005565, 5005566, 5005568, 5005569, 5005573, 5005606, 5005607, 5005613, 5005615, 5005618, 5005623, 5005627, 5005633 |
Windows WLAN AutoConfigサービス | リモートコード実行の脆弱性 |
サードパーティのアップデート
Adobe、Cisco、SAP、Apple、Androidなどのサードパーティベンダーが、2021年8月度の月例パッチのリリース後に重要なアップデートを実施しています。
ブラウザーが危ない!?ウェブブラウザーの守り方
突然ですが、「Pwn2Own」というイベントをご存じですか?
「Pwn2Own」とは、OSやソフトウェアなどの脆弱性を発見する国際的セキュリティコンテストです。今年は4月に実施され、日本人がUbuntuの権限昇格の脆弱性を新たに発見して賞金を獲得したことで話題になりました。
Pwn2Own 2021の結果を見ると、現在全世界的に最も使用されているソフトウェアの1つであるウェブブラウザーが、ハッカーたちの注目の的になっていることがわかります。
安全な接続を使用していても、セキュリティ保護されていないブラウザーは、ハッカーに組織内部への侵入を許したり、機密情報流出のきっかけとなってしまう危険があります。
企業は、身近なツールであり業務にも欠かすことのできないソフトウェアであるブラウザーを守る必要があります。
必ず実施すべきブラウザーのセキュリティ対策としては、「ブラウザーの最新バージョンを利用する」ことが挙げられます。 多くのブラウザーでは、ブラウザーのアップデートが配信されると自動でダウンロードして適用する自動更新機能が有効になっています。
しかし、社員が利用するクライアント端末にインストールされているブラウザーが最新の状態であるかを逐一確認するのは非常に骨の折れる作業となります。
各種ブラウザーのインストール状況の把握や、アップデート適用を効率的に実施できるツールを利用することがおすすめです。
ManageEngineが提供する「Desktop Central」および「Patch Manager Plus」では、Microsoft Edge・Internet Explorer・Google Chrome・Mozilla Firefoxなどのウェブブラウザーを管理可能です。パッチの自動配布や、パッチ管理を自動化する様々な機能がご利用いただけます。
また、ブラウザーの他、OSのアップデートやその他のソフトウェア約350種類以上(21年7月時点)のパッチの管理にも対応しています。
ブラウザーやクライアント端末で利用されているその他ソフトウェアの管理ツールをお探しの方は、是非ManageEngineのパッチ管理製品をご検討ください。
パッチ管理のスタートダッシュを決めるならPatch Manager Plus
【Patch Manager Plus 概要資料のダウンロードはこちら】
【Patch Manager Plus 評価版のダウンロードはこちら】
パッチ管理ツール「Patch Manager Plus」
パッチ管理のほかソフトウェア配布・モバイルデバイス管理(MDM)も実施するならDesktop Central
【Desktop Central 概要資料のダウンロードはこちら】
【Desktop Central 評価版のダウンロードはこちら】
統合エンドポイント管理ツール「Desktop Central」
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。