マイクロソフトは、ソフトウェアに112の悪意のある脆弱性を検出しました

ジャカルタ-マイクロソフトの2020年11月パッチ火曜日セキュリティスイートが到着しました。そのリリースで、Microsoftは、修正が必要な製品に合計112の異なる脆弱性があることを明らかにしました。

11月12日木曜日、Tech Radarを引用すると、112の脆弱性のうち17が重大、93が重要、2つだけが中程度に分類されることがわかっています。

Windows Kernel Cryptography Driver(cng.sys)には、CVE-2020-17087として追跡されているゼロデイ特権昇格の脆弱性に対するパッチもあります。この脆弱性は非常に深刻です。

研究者がこの脆弱性が現実世界の標的型攻撃で悪用されていることを検出した後、この脆弱性は最近GoogleのProjectZeroセキュリティチームによって開示されました。

ただし、Microsoftは、Azure Sphere、Microsoft Dynamics、Microsoft Exchange Server、Microsoft Office、Windows 10、Visual Studio、WindowsDefenderなどの多くの製品の脆弱性にパッチを適用しています。

したがって、ユーザーは被害者にならないように、今すぐシステムにパッチを適用する必要があります。 Microsoftによると、この脆弱性を悪用することにより、潜在的な攻撃がいつでも発生する可能性があります。

これに対処するために、マイクロソフトは、ユーザーと研究者がソフトウェアの脆弱性をよりよく理解できるようにするための新しいバージョンのセキュリティ更新ガイドもリリースしました。

「セキュリティ更新ガイドの新しいバージョンのリリースに伴い、マイクロソフトは、Common Vulnerability Scoring System(CVSS)を使用して脆弱性を説明することにより、業界標準への取り組みを示しています」と、マイクロソフトセキュリティレスポンスセンターは公式ブログ投稿で述べています。

「これは、攻撃ベクトル、攻撃の複雑さ、敵が特定の特権を必要とするかどうかなどの属性を持つ脆弱性を説明する正確な方法です」と彼は付け加えました。

2016年以降、Windowsとそのブラウザの脆弱性が検出されていますが、同社は各脆弱性を評価し、新しいバージョンのセキュリティアップデートガイドにスコアを構成する詳細を表示します。

同時に、マイクロソフトのセキュリティ研究者は、セキュリティ更新ガイドに表示されるフィールドを編集して、脆弱性のリリース日、CVE番号、CVEタイトル、説明、記事、FAQ、緩和策などを示すことができるようになりました。