Microsoft、2024年9月の月例更新 - 79件の脆弱性への対応が行われる

マイクロソフトでは、セキュリティ更新プログラム、セキュリティアドバイザリに関する注意点として、以下をあげる。

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認している。ユーザーにおいては、更新プログラムの適用を早急に行ってほしい。脆弱性の詳細は、各CVEのページを参照してほしい。

CVE-2024-43491 Microsoft Windows Updateのリモートでコードが実行される脆弱性

CVE-2024-38014 Windows インストーラーの特権の昇格の脆弱性

CVE-2024-38217 Windows Mark Of The Webセキュリティ機能のバイパスの脆弱性

CVE-2024-38226 Microsoft Publisherのセキュリティ機能のバイパスの脆弱性

今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2024-43491 Microsoft Windows Updateのリモートでコードが実行される脆弱性は、CVSS基本値が9.8と高いスコアで、認証やユーザーの操作なしで悪用が可能である。本脆弱性は、Windows 10バージョン1507（Windows 10 Enterprise 2015 LTSBおよびWindows 10 IoT Enterprise 2015 LTSB）にのみ影響がある。その他のバージョンのWindows OSに影響はない。なお、本脆弱性からシステムを保護するためには、2024年9月10日にリリースされたサービススタック更新プログラムをインストールしたうえで、2024年9月10日にリリースされた Windows用の更新プログラムをインストールする必要がある。本脆弱性は、セキュリティ更新プログラムが公開されるよりも前に、脆弱性の悪用を確認している。脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨する。
セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してほしい。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2024年9月セキュリティ更新プログラムリリースノートに掲載されている。